Hallo!

Immer wenn ich mit Ad-Aware mein System checken lasse, taucht bei meinem PC die Meldung auf, Dass er automatisch in 58, 57,... Sekunden herunterfährt und ich noch sämtliche Daten sichern solle.
Wenn ich jedoch den Ordner C:\WINDOWS aus dem Scannen ausnehme, tritt dieses Problem nicht auf. Allerdings möchte ich natürlich auch sichergehen, dass in diesem Ordner keine Malware ist.

Wie kann ich das Problem beheben?

Mfg Moskitoman

@ Moskitoman

und das nennst Du frohe Kunde, zu früher Morgenstunde?

Versuch mal, ob es Dir gelingt den eScan runterzuladen, online zu updaten und im abgesicherten Modus offline auszuführen. Eine sehr detaillierte Anleitung findest Du im Link. Der Scan dauert ca 1 Stunde. Der eScan entfernt keine Malware. Wir erfahren auf diese Weise welche Viren Du auf dem System hast ... und helfen Dir, so wir können.

Sollte es nicht möglich sein, den eScan auszuführen, auf Deinem Gesamtsystem (!), versuche bitte einen Online-Scan.

In beiden Fällen wollen wir wissen, welche Viren sich auf Deinem System befinden. Poste die Namen der Viren. Beim eScan geht das so: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Erstelle dann bitte ein Hijack This Logfile mit http://www.trojaner-board.de/51130-anleitung-hijackthis.html und poste es mittels copy&paste.

Viel Erfolg!
SD

@Shadowdance

Mein Highjackthislog is glaub ich clean, lad mir jetzt mal escan runter...


Logfile of HijackThis v1.98.2
Scan saved at 04:51:28, on 17.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\windows\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\DVDRAMSV.EXE
C:\windows\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\windows\System32\tcpsvcs.exe
C:\WINDOWS\System32\SLEE401.exe
C:\windows\System32\svchost.exe
C:\windows\system32\wscntfy.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\windows\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\windows\explorer.exe
C:\unzipped\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1.
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Programme\Acrobat Reader 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - C:\Programme\Popup Manager\PopupMgr_1.0.1.5.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\windows\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\windows\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/07b5a94aafb30e3e6718/netzip/RdxIE601.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097506926656
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab

Mach es mal so, wie SD sagt, da gehst du auf alle Fälle sicher, wenn du aber Zeit sparen willst, mache shutdown –a, gehe mit dem neusten Stinger drüber, firewall an und das OS gepatcht und die Sache dürfte wieder laufen.
LG; Charlie

@ Moskitoman, habe auf der Schnelle da auch nichts finden können, scheint OK zu sein, ich dachte schon an blaster, LG, Charlie

@ Moskitoman

Dein Logfile ist absolut ok.

SD

@Moskitoman
Deaktiviere den AV-Guard während des Scanns mit Ad-aware.
Vergesse aber nicht den Guard anschließend wieder zu aktivieren, sonst bewegst du dich ungeschützt durchs Netz.

Wenn dieses Problem dann immernoch auftritt: http://www.lavasoftsupport.com/index.php?showforum=16

Also hier die Pfadangaben von eScan, in denen infected vorkam:

Sun Oct 17 05:11:39 2004 => File C:\windows\system32\setup_incred_2.exe infected by "TrojanDownloader.Win32.Keenval.e" Virus. Action Taken: File Deleted.
Sun Oct 17 05:17:54 2004 => File C:\Dokumente und Einstellungen\***\Desktop\CHRISTOPH\Downloads\28712.exe infected by "not-a-virus:AdvWare.Toolbar.Quick.a" Virus. Action Taken: File Renamed.
Sun Oct 17 05:21:01 2004 => File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Del7.tmp infected by "not-a-virus:AdvWare.180Solutions" Virus. Action Taken: File Deleted.
Sun Oct 17 05:23:03 2004 => C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporary Internet Files\~472..tmp\~7745..tmp\1710999571@TopLeft,Top1,Top2,TopRight,Left,Left1,Left2,Right,Right1,Middle,Middle2,Position1,Position2,Frame1,Frame2,x01,x0 2,x03,x04,x05, possibly infected and removed by background antivirus package!
Sun Oct 17 05:23:03 2004 => C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporary Internet Files\~6367..tmp\~6354..tmp\Erste__Verabredung__inf__nur__keine_20Hemmungen,docId=8888,backUrl=DrSommer_2FHelp_2FFit__20For__20Love_2FSchmetterlinge__ 20im__20Bauch_ possibly infected and removed by background antivirus package!
Sun Oct 17 05:23:03 2004 => C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporary Internet Files\~6367..tmp\~6367..tmp\Erste__Verabredung__ratfaq__Valentinstag__Ich__trau__mich__nicht,docId=8888,fid=-270523394,backUrl=DrSommer_2FHelp_2FFit__20For__20Love_ possibly infected and removed by background antivirus package!
Sun Oct 17 05:23:03 2004 => C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporary Internet Files\~6367..tmp\~7745..tmp\Erste__Verabredung__ratfaq__Ich__wuensch__mir__endlich__einen__Freund,docId=8888,fid=-270523394,backUrl=DrSommer_2FHelp_2FFit__20For__20 possibly infected and removed by background antivirus package!
Sun Oct 17 05:23:03 2004 => C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporary Internet Files\~7745..tmp\~6367..tmp\adlink%7C82%7C89055%7C1%7C171%7CAdId%3D278772%3BBnId%3D2%3Bitime%3D953713223%3Bku%3D12900%3Bkey%3Dcomputing%2Bdesigntechni ca%5Fgeneral%3 possibly infected and removed by background antivirus package!
Sun Oct 17 05:23:03 2004 => C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporary Internet Files\~7745..tmp\~7745..tmp\adlink%7C82%7C89055%7C1%7C171%7CAdId%3D278772%3BBnId%3D2%3Bitime%3D953713223%3Bku%3D12900%3Bkey%3Dcomputing%2Bdesigntechni ca%5Fgeneral%3 possibly infected and removed by background antivirus package!
Sun Oct 17 05:23:03 2004 => C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporary Internet Files\~7745..tmp\~7745..tmp\adlink_82_89055_1_171_AdId=279141;BnId=1;itime=954450983;ku=12900;key=computing+designtechnica_general;nodecode=yes;link=& Rnd=1095954452 possibly infected and removed by background antivirus package!
Sun Oct 17 05:23:03 2004 => C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporary Internet Files\~9984..tmp\~472..tmp\music;dcove=o;aff=college_m;aff=college_f;aff=teen_m;aff=teen_f;pagename=index;gateway=music;section_1=downloads;sz=336x280 ;tile=2;ord=76 possibly infected and removed by background antivirus package!
Sun Oct 17 05:23:03 2004 => C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporary Internet Files\~9984..tmp\~6367..tmp\music;music=video;aff=college_m;aff=college_f;aff=teen_m;aff=teen_f;pagename=index;gateway=music;section_1=video;section_2 =premiere;sect possibly infected and removed by background antivirus package!
Sun Oct 17 05:23:03 2004 => C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporary Internet Files\~9984..tmp\~7745..tmp\music;music=downloads;dcopt=ist;dcove=o;aff=college_m;aff=college_f;aff=teen_m;aff=teen_f;pagename=index;gateway=music;sec tion_1=downloa possibly infected and removed by background antivirus package!
Sun Oct 17 05:23:03 2004 => C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporary Internet Files\~9984..tmp\~9984..tmp\music;music=video;dcopt=ist;dcove=o;aff=college_m;aff=college_f;aff=teen_m;aff=teen_f;pagename=index;gateway=music;section _1=video;secti possibly infected and removed by background antivirus package!
Sun Oct 17 05:24:01 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sun Oct 17 05:24:01 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\A0088101.EXE.VIR
Sun Oct 17 05:24:01 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\BFENDTTO.EXE.VIR
Sun Oct 17 05:24:01 2004 => File C:\Programme\AVPersonal\INFECTED\BFENDTTO.EXE.VIR infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.

Sun Oct 17 05:24:01 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\DELUPDAT.EXE.VIR
Sun Oct 17 05:24:01 2004 => File C:\Programme\AVPersonal\INFECTED\DELUPDAT.EXE.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: File Deleted.

Sun Oct 17 05:24:01 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\EZT3.EXE.VIR
Sun Oct 17 05:24:02 2004 => File C:\Programme\AVPersonal\INFECTED\EZT3.EXE.VIR infected by "not-a-virus:AdvWare.BetterInternet" Virus. Action Taken: File Renamed.

Sun Oct 17 05:24:02 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\OQELDSLFC.EXE.VIR
Sun Oct 17 05:24:02 2004 => File C:\Programme\AVPersonal\INFECTED\OQELDSLFC.EXE.VIR infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.

Sun Oct 17 05:24:02 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\SUI.EXE.VIR
Sun Oct 17 05:24:02 2004 => File C:\Programme\AVPersonal\INFECTED\SUI.EXE.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: File Deleted.

Sun Oct 17 05:24:02 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\TIPB.EXE.VIR
Sun Oct 17 05:24:02 2004 => File C:\Programme\AVPersonal\INFECTED\TIPB.EXE.VIR infected by "TrojanDownloader.Win32.Keenval.e" Virus. Action Taken: File Deleted.

Sun Oct 17 05:24:02 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\WUPDATER.EXE.VIR
Sun Oct 17 05:24:03 2004 => File C:\Programme\AVPersonal\INFECTED\WUPDATER.EXE.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: File Deleted.
Sun Oct 17 05:34:47 2004 => File C:\Programme\themexp\Themexp.org File\NNEZTA388.exe infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: File Renamed.
Sun Oct 17 05:34:47 2004 => File C:\Programme\themexp\Themexp.org File\TBEZA127Q.exe infected by "not-a-virus:AdvWare.Toolbar.Quick.a" Virus. Action Taken: File Renamed.
Sun Oct 17 05:42:43 2004 => File C:\System Volume Information\_restore{7D0730E2-E46B-4585-A113-BAF338BEBD6A}\RP164\A0106616.dll infected by "not-a-virus:AdvWare.180Solutions" Virus. Action Taken: File Renamed.
Sun Oct 17 05:42:43 2004 => File C:\System Volume Information\_restore{7D0730E2-E46B-4585-A113-BAF338BEBD6A}\RP164\A0106617.exe infected by "not-a-virus:AdvWare.180Solutions" Virus. Action Taken: File Renamed.
Sun Oct 17 05:42:53 2004 => File C:\System Volume Information\_restore{7D0730E2-E46B-4585-A113-BAF338BEBD6A}\RP166\A0107815.exe infected by "TrojanDownloader.Win32.Keenval.e" Virus. Action Taken: File Deleted.
Sun Oct 17 05:42:54 2004 => File C:\System Volume Information\_restore{7D0730E2-E46B-4585-A113-BAF338BEBD6A}\RP166\A0107816.exe infected by "not-a-virus:AdvWare.Toolbar.Quick.a" Virus. Action Taken: File Renamed.
Sun Oct 17 05:42:54 2004 => File C:\System Volume Information\_restore{7D0730E2-E46B-4585-A113-BAF338BEBD6A}\RP166\A0107817.exe infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: File Renamed.
Sun Oct 17 05:42:55 2004 => File C:\System Volume Information\_restore{7D0730E2-E46B-4585-A113-BAF338BEBD6A}\RP166\A0107818.exe infected by "not-a-virus:AdvWare.Toolbar.Quick.a" Virus. Action Taken: File Renamed.
Sun Oct 17 05:43:01 2004 => File C:\unzipped\backups\backup-20041011-165951-105.dll infected by "TrojanDownloader.Win32.Rameh.f" Virus. Action Taken: File Deleted.
Sun Oct 17 05:43:01 2004 => File C:\unzipped\backups\backup-20041011-165951-974.dll infected by "TrojanDownloader.Win32.Keenval.e" Virus. Action Taken: File Deleted.
Sun Oct 17 05:49:39 2004 => File C:\WINDOWS\Downloaded Program Files\WEBInstaller.dll infected by "not-a-virus:AdvWare.Sahat.c" Virus. Action Taken: File Renamed.


Sun Oct 17 06:18:00 2004 => Total Number of Disinfected Files: 0


Echt lustig, dass da noch einige Beiträge von Dr. Sommer sind :aplaus:
Mfg Moskitoman

Zitat:

Zitat von *Christian*

Deaktiviere den AV-Guard während des Scanns mit Ad-aware.
Vergesse aber nicht den Guard anschließend wieder zu aktivieren, sonst bewegst du dich ungeschützt durchs Netz.

Hab ich getan und hat auch leider nichts geholfen. Werd mich dann jetzt mal in den Foren dort umschauen.

Danke dir
Moskitoman