Hallo,
ich hab folgendes Problem unzwar hab ich letztens eine Datei runtergeladen, die ein Virus sein könnte...
Nun sind seid gestern jegliche Accounts gelöscht und meine E-mails wurden alle gelöscht...
Ich habe schon jegliche antivirenprogramme durchlaufen lassen, doch immer finden diese nix...
Jmd. sagte mir, dass es sich womöglich um solch Trojaner handeln könnte:
PSW [Password Stealing Ware] - Trojaner
Win32 Trojaner

Mein Betriebssystem ist WinXp
Fehlermeldungen werden sowohl von antivir HijackThis avast! stinger nicht angezeigt

Könnte mir jmd. helfen wie ich den entferne?
Vielen dank

@masu
Bitte NUB/ Goldene 7 Regeln lesen und Beitrag korrigieren.

Zitat:

Zitat von masu

ich hab folgendes Problem unzwar hab ich letztens eine Datei runtergeladen, die ein Virus sein könnte...

Nur vom Runterladen installiert sich kein Virus.

Poste mal ein Hijackthis-Logfile; Anleitung in Signatur beachten!

Gruß
Yopie

Logfile of HijackThis v1.99.1
Scan saved at 21:08:38, on 20.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Tools und Progrämmchen\Winamp\winampa.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Tools und Progrämmchen\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Steam\Steam.exe
C:\Programme\T-Eumex\ISDN Guard\agfguard.exe
D:\Tools und Progrämmchen\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Matze\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WinampAgent] D:\Tools und Progrämmchen\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] D:\Tools und Progrämmchen\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "E:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Tools und Progrämmchen\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ISDN Guard.lnk = C:\Programme\T-Eumex\ISDN Guard\agfguard.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Tools und Progrämmchen\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Tools und Progrämmchen\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

Log sieht für mich sauber aus.

Zitat:

Nun sind seid gestern jegliche Accounts gelöscht und meine E-mails wurden alle gelöscht...

Welche Accounts? Windows-Nutzeraccounts?

Welches Mailprogramm nutzt du?

Gruß
Yopie

meine Accounts bei der ESL, rushed.de, readmore.de, chip.de sind alle deletet
und bei meiner emailadresse bei web.de wurden alle meine emails gelöscht, allerdings sind bei gmx.de keine gelöscht worden

ich hab schon programme wie stinger und avast! etc. drüberlaufen lassen, aber diese finden keine würmer trojaner oder ähnliches...

mein account auf der esl seite wurde gelöscht nachdem ich eine exe datei runtergeladen hab, die eigentlich ein tool sein sollte, um eine servercfg besser einzustellen, als ich diese exe datei runtergeladen und draufgeklickt habe, kam nix weiteres, so habe ich sie direkt gelöscht, doch am nächsten morgen war halt mein account bei der esl und mein web.de account weg

Tja, das sieht nicht gut aus.

Hast du eine Möglichkeit, diese komische Datei wiederherzustellen oder nochmal zu besorgen, um sie z.B. mal unter virustotal.com scannen?

Mach auch mal einen eScan, genau nach der Anleitung in der Sig vorgehen, und poste die Funde mit der find.bat!

Gruß
Yopie

ahja ...

exec rofl_skill.cfg?

Netz gegen Cheatende Scriptkiddies
Dein Logfile ist sauber, soetwas wie nen Virus seh ich nicht.

Sende mir doch einfach mal das File per PM.

mfg,
Markus

Zitat:

Zitat von masu

meine Accounts bei der ESL, rushed.de, readmore.de, chip.de sind alle deletet... bei meiner emailadresse bei web.de wurden alle meine emails gelöscht..mein account auf der esl seite wurde gelöscht nachdem ich eine exe datei runtergeladen hab

???? Lest mal diesen Schwachsinn durch und
EOD

Zitat:

Zitat von masu

meine Accounts bei der ESL, rushed.de, readmore.de, chip.de sind alle deletet
und bei meiner emailadresse bei web.de wurden alle meine emails gelöscht, allerdings sind bei gmx.de keine gelöscht worden
mein account auf der esl seite wurde gelöscht nachdem ich eine exe datei runtergeladen hab, die eigentlich ein tool sein sollte, um eine servercfg besser einzustellen, als ich diese exe datei runtergeladen und draufgeklickt habe, kam nix weiteres, so habe ich sie direkt gelöscht, doch am nächsten morgen war halt mein account bei der esl und mein web.de account weg

Bei GMX ist Trauer, bei den anderen Providern ist Jubelstimmung.