TR/StartPage.afj.2, wie bei Sarahlein?

sarah2 · 07.11.2005, 09:37

Hallo,
habe mir vor drei Tagen den Trojaner eingefangen, trotz AntiVir Guard und Spybot.
Auch mit AdAware und ewido schaffe ich es nicht das Vieh zu killen.
Habe mehreres schon versucht, z.B.: System Volume Information zu löschen was mir bis auf den Change.log auch geglückt ist. Reicht aber nicht

Unter C:windows\system32\ werden immerwieder "HP****.tmp" Dateien als infiziert gemeldet, manche kann ich mit einem Antivirenprogramm löschen, am hartnäckigsten ist der HP9700.tmp.
Habe zwar keine Diplomarbeit wie Sarahlein zu verlieren, wäre aber mindestens genauso dankbar über Hilfe wie sie.
Hier ein Logfile:

4.11.2005,21:35:10 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HP9700.TMP
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
4.11.2005,21:39:36 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HP9700.TMP
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
4.11.2005,21:48:07 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HP9700.TMP
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
4.11.2005,21:57:14 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HP9700.TMP
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
4.11.2005,21:59:06 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HP9700.TMP
[FEHLER] Die Datei konnte nicht überschrieben und gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
4.11.2005,22:01:57 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HP9700.TMP
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
4.11.2005,22:07:15 [INFO] Stop Filter Device.
4.11.2005,22:07:16 [EXIT] Der AVGuard Dienst wurde beendet!
5.11.2005,10:57:36 ---------------------------------------------------------
5.11.2005,10:57:36 [INIT] Der AVGuard Service wird gestarted.
5.11.2005,10:57:43 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
5.11.2005,10:57:45 [INFO] Start Filter Device.
5.11.2005,10:57:45 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.0.147
5.11.2005,10:57:45 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
5.11.2005,10:57:53 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
5.11.2005,10:57:53 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa1471.
5.11.2005,10:57:49 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HPAE60.TMP
[INFO] Die Datei wurde gelöscht!
5.11.2005,11:43:11 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HP37AD.TMP
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
5.11.2005,11:46:27 [INFO] Stop Filter Device.
5.11.2005,11:46:28 [EXIT] Der AVGuard Dienst wurde beendet!
5.11.2005,11:47:42 ---------------------------------------------------------
5.11.2005,11:47:42 [INIT] Der AVGuard Service wird gestarted.
5.11.2005,11:47:49 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
5.11.2005,11:47:50 [INFO] Start Filter Device.
5.11.2005,11:47:50 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.0.147
5.11.2005,11:47:50 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
5.11.2005,11:47:57 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
5.11.2005,11:47:57 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa19ae.
5.11.2005,11:47:52 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HPA1BE.TMP
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
5.11.2005,12:12:38 [INFO] Stop Filter Device.
5.11.2005,12:12:39 [EXIT] Der AVGuard Dienst wurde beendet!
5.11.2005,12:12:41 ---------------------------------------------------------
5.11.2005,12:12:41 [INIT] Der AVGuard Service wird gestarted.
5.11.2005,12:12:41 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
5.11.2005,12:12:42 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
5.11.2005,12:12:42 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaabdf6b0.
5.11.2005,12:12:42 [INFO] Start Filter Device.
5.11.2005,12:12:42 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.14.11
5.11.2005,12:12:42 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
5.11.2005,12:18:18 [INFO] Stop Filter Device.
5.11.2005,12:18:18 [EXIT] Der AVGuard Dienst wurde beendet!
5.11.2005,15:15:47 ---------------------------------------------------------
5.11.2005,15:15:47 [INIT] Der AVGuard Service wird gestarted.
5.11.2005,15:15:48 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
5.11.2005,15:15:56 [INFO] Start Filter Device.
5.11.2005,15:15:56 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.14.11
5.11.2005,15:15:56 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
5.11.2005,15:16:01 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
5.11.2005,15:16:01 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa1d80.
5.11.2005,15:15:59 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HPAE12.TMP
5.11.2005,16:07:44 [INFO] Stop Filter Device.
5.11.2005,16:07:44 [EXIT] Der AVGuard Dienst wurde beendet!
5.11.2005,17:30:39 ---------------------------------------------------------
5.11.2005,17:30:39 [INIT] Der AVGuard Service wird gestarted.
5.11.2005,17:30:40 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
5.11.2005,17:30:48 [INFO] Start Filter Device.
5.11.2005,17:30:48 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.14.11
5.11.2005,17:30:48 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
5.11.2005,17:30:52 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
5.11.2005,17:30:52 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa150c.
5.11.2005,17:30:49 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HPB390.TMP
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
5.11.2005,18:04:01 [WARNUNG] Enthält Signatur des Windows-Virus W32/Nsag.B!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{7E084F8C-103D-4DA6-8ACF-EAD095685778}\RP579\A0164036.DLL
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
5.11.2005,18:48:36 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Delf.PA.4!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{7E084F8C-103D-4DA6-8ACF-EAD095685778}\RP579\A0166052.DLL
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
5.11.2005,18:50:08 [INFO] Stop Filter Device.
5.11.2005,18:50:09 [EXIT] Der AVGuard Dienst wurde beendet!
5.11.2005,18:52:34 ---------------------------------------------------------
5.11.2005,18:52:34 [INIT] Der AVGuard Service wird gestarted.
5.11.2005,18:52:35 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
5.11.2005,18:52:43 [INFO] Start Filter Device.
5.11.2005,18:52:43 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.14.11
5.11.2005,18:52:43 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
5.11.2005,18:52:49 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
5.11.2005,18:52:49 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa167d.
5.11.2005,18:52:43 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HPA5A6.TMP
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
5.11.2005,18:54:30 [INFO] Stop Filter Device.
5.11.2005,18:54:31 [EXIT] Der AVGuard Dienst wurde beendet!
5.11.2005,18:55:46 ---------------------------------------------------------
5.11.2005,18:55:46 [INIT] Der AVGuard Service wird gestarted.
5.11.2005,18:55:47 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
5.11.2005,18:55:55 [INFO] Start Filter Device.
5.11.2005,18:55:55 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.14.11
5.11.2005,18:55:55 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
5.11.2005,18:55:59 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
5.11.2005,18:55:59 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa1b36.
5.11.2005,18:55:57 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HPA72C.TMP
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
5.11.2005,18:56:40 [INFO] Stop Filter Device.
5.11.2005,18:56:41 [EXIT] Der AVGuard Dienst wurde beendet!
5.11.2005,18:58:01 ---------------------------------------------------------
5.11.2005,18:58:01 [INIT] Der AVGuard Service wird gestarted.
5.11.2005,18:58:02 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
5.11.2005,18:58:09 [INFO] Start Filter Device.
5.11.2005,18:58:09 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.14.11
5.11.2005,18:58:09 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
5.11.2005,18:58:14 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
5.11.2005,18:58:14 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa183c.
5.11.2005,18:58:11 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HPA884.TMP
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
5.11.2005,19:43:40 [INFO] Stop Filter Device.
5.11.2005,19:43:40 [EXIT] Der AVGuard Dienst wurde beendet!
5.11.2005,19:44:54 ---------------------------------------------------------
5.11.2005,19:44:54 [INIT] Der AVGuard Service wird gestarted.
5.11.2005,19:44:55 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
5.11.2005,19:45:03 [INFO] Start Filter Device.
5.11.2005,19:45:03 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.14.11
5.11.2005,19:45:03 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
5.11.2005,19:45:07 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
5.11.2005,19:45:07 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa1a5a.
5.11.2005,19:45:05 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HPA78A.TMP
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
5.11.2005,20:46:23 [INFO] Stop Filter Device.
5.11.2005,20:46:24 [EXIT] Der AVGuard Dienst wurde beendet!
5.11.2005,21:18:07 ---------------------------------------------------------
5.11.2005,21:18:07 [INIT] Der AVGuard Service wird gestarted.
5.11.2005,21:18:08 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
5.11.2005,21:18:16 [INFO] Start Filter Device.
5.11.2005,21:18:16 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.14.11
5.11.2005,21:18:16 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
5.11.2005,21:18:21 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
5.11.2005,21:18:21 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa181c.
5.11.2005,21:18:19 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HPAA49.TMP
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
5.11.2005,22:11:03 [INFO] Stop Filter Device.
5.11.2005,22:11:03 [EXIT] Der AVGuard Dienst wurde beendet!
5.11.2005,22:12:17 ---------------------------------------------------------
5.11.2005,22:12:17 [INIT] Der AVGuard Service wird gestarted.
5.11.2005,22:12:18 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
5.11.2005,22:12:26 [INFO] Start Filter Device.
5.11.2005,22:12:26 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.14.11
5.11.2005,22:12:26 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
5.11.2005,22:12:30 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
5.11.2005,22:12:30 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa1b61.
5.11.2005,22:12:28 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HPA875.TMP
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
5.11.2005,22:14:12 [INFO] Stop Filter Device.
5.11.2005,22:14:13 [EXIT] Der AVGuard Dienst wurde beendet!
6.11.2005,10:14:43 ---------------------------------------------------------
6.11.2005,10:14:43 [INIT] Der AVGuard Service wird gestarted.
6.11.2005,10:14:44 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
6.11.2005,10:14:52 [INFO] Start Filter Device.
6.11.2005,10:14:52 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.14.11
6.11.2005,10:14:52 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
6.11.2005,10:14:56 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
6.11.2005,10:14:56 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa1e63.
6.11.2005,10:14:54 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HPACF9.TMP
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
6.11.2005,10:23:17 [INFO] Stop Filter Device.
6.11.2005,10:23:17 [EXIT] Der AVGuard Dienst wurde beendet!
6.11.2005,10:24:44 ---------------------------------------------------------
6.11.2005,10:24:44 [INIT] Der AVGuard Service wird gestarted.
6.11.2005,10:24:45 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
6.11.2005,10:24:54 [INFO] Start Filter Device.
6.11.2005,10:24:54 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.14.11
6.11.2005,10:24:55 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
6.11.2005,10:25:49 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
6.11.2005,10:25:49 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaabd69a.
6.11.2005,10:25:48 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HP74FC.TMP
[INFO] Die Datei wurde überschrieben und gelöscht!
6.11.2005,15:37:56 ---------------------------------------------------------
6.11.2005,15:37:56 [INIT] Der AVGuard Service wird gestarted.
6.11.2005,15:37:57 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
6.11.2005,15:38:05 [INFO] Start Filter Device.
6.11.2005,15:38:05 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.14.11
6.11.2005,15:38:05 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
6.11.2005,15:38:08 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
6.11.2005,15:38:08 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa1f78.
6.11.2005,15:38:06 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HPAAD6.TMP
[INFO] Die Datei wurde gelöscht!
6.11.2005,17:29:32 [WARNUNG] Enthält Signatur des Java-Virus JAVA/OpenStream.W!
C:\DOKUMENTE UND EINSTELLUNGEN\***\.JPI_CACHE\JAR\1.0\JAVAINSTALLER.JAR-2CB7CC7E-682B6EDA.ZIP
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
6.11.2005,19:35:24 [WARNUNG] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/Generic (Dialer)!
C:\DOKUMENTE UND EINSTELLUNGEN\***\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\KFVBI4XT\CCC[1].EXE
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
6.11.2005,20:16:47 [INFO] Stop Filter Device.
6.11.2005,20:16:47 [EXIT] Der AVGuard Dienst wurde beendet!
7.11.2005,07:09:30 ---------------------------------------------------------
7.11.2005,07:09:30 [INIT] Der AVGuard Service wird gestarted.
7.11.2005,07:09:31 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
7.11.2005,07:09:39 [INFO] Start Filter Device.
7.11.2005,07:09:39 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.14.11
7.11.2005,07:09:39 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
7.11.2005,07:09:44 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
7.11.2005,07:09:44 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa1c8b.
7.11.2005,07:09:42 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HPAE12.TMP
[INFO] Die Datei wurde gelöscht!

Danke schonmal und nette Grüsse
Sarah2

irrlicht · 07.11.2005, 09:56

hi Sarah2
Hier auf der Startseite steht unter "Anleitungen,FAQ`s" unter anderem wie man ein HijackThis Log und ein E Scan Log erstellt.Schau es dir an oder drucke es aus.Beginne mit einem HijackThis Log nach der Anweisung.Da kann man mehr sehen als in dem Antivir log.
Irrlicht

sarah2 · 07.11.2005, 10:08

o.k., habe das FAQ zwar nicht gefunden, installierte aber gestern bereits Hijackthis. Hier der aktuelle log:

Logfile of HijackThis v1.99.1
Scan saved at 10:03:53, on 07.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\securitysuite.exe
C:\WINDOWS\SYSTEM32\mssearchnet.exe
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINDOWS\system32\hp9700.tmp (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Startup: Fritz!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Global Startup: Ereigniserinnerung.lnk = C:\Programme\Broderbund\PrintMaster\PMREMIND.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B144DBA-7FB6-4239-A0D2-EED940B05ADA}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{D15B1A89-EBF3-4EBC-BED6-698CB3764C8A}: NameServer = 192.168.121.252,192.168.121.253
O20 - Winlogon Notify: st3i - C:\WINDOWS\q14041843.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Hoffe das reicht so!?
sarah2

irrlicht · 07.11.2005, 12:48

Hi
das hier dürfte die Startseite sein die angemeckert wurde C:\WINDOWS\system32\nvctrl.exe
Laß die mal bei Jotti scannen.http://virusscan.jotti.org/de/
Irrlicht
Ps.
Hier sind die Anleitungen. http://www.trojaner-board.de/forumdisplay.php?f=23

sarah2 · 07.11.2005, 13:17

Hallo Irrlicht,
eine genaue Anleitung fand ich leider nicht. Habe aber die Datei prüfen lassen:

Auslastung:
0% 100%
Datei: nvctrl.exe
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
PE_PATCH, UPACK

AntiVir
Keine Viren gefunden
ArcaVir
Win32 gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Trojan.Win32.StartPage.afm gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VBA32
Keine Viren gefunden

Zuletzt gefundene Malware war 雨花石免杀版.exe, gefunden von:

Scanner Name der Malware
AntiVir X
ArcaVir X
Avast X
AVG Antivirus X
BitDefender X
ClamAV X
Dr.Web DLOADER.Trojan
F-Prot Antivirus X
Fortinet X
Kaspersky Anti-Virus Backdoor.Win32.GrayBird.x
NOD32 X
Norman Virus Control X
UNA X
VBA32 Embedded.Backdoor.Win32.GrayBird.ak

Ich hoffe du kannst damit was anfangen.
sarah2

dartus · 07.11.2005, 13:24

Hallo sarah2,

arbeite dies durch:
http://www.trojaner-board.de/showthread.php?t=21709

dartus

TR/StartPage.afj.2, wie bei Sarahlein?

Plagegeister aller Art und deren Bekämpfung: TR/StartPage.afj.2, wie bei Sarahlein?