|
Bitte ebenfalls um Logfile Auswertung!!! Hallo ich grüße euch alle miteinander, habe ein Problemm dabei handelt es sich um folgendes: Bei jeden Neustart meldet mir Antivir Guard - Trojanisches Pferd der mit E2Give zu tun hat, den lösche ich mit PestPetrol, selbst den Registry Eintrag. Aber wie gesagt bei jeden Neustart das selbe Spiel wieder. Jetzt habe ich mich mal so belesen und habe mir die Hijackthis.exe geladen. Und mein Logfile sieht folgender maßen aus: Logfile of HijackThis v1.99.0 Scan saved at 11:13:20, on 29.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\Fast.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\fast.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\PestPatrol\PPControl.exe C:\Programme\PestPatrol\PPMemCheck.exe C:\Programme\PestPatrol\CookiePatrol.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\prutmct.exe C:\WINDOWS\System32\prutmct.exe C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [prutmct] C:\WINDOWS\System32\prutmct.exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = ? O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O17 - HKLM\System\CCS\Services\Tcpip\..\{C76E35D6-02C0-457D-A183-2033EFCFB0B4}: NameServer = 192.168.2.1 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe Wie schlimm sieht es bei mir aus??? Kann man da noch etwas retten??? MfG Maik aus L.E. |
@Struppibanter system updaten auf SP2 wo würde E2Give gefunden? http://www.doxdesk.com/parasite/E2Give.html diesen datei kenne ich nicht, lasse den bitte hier http://virusscan.jotti.org/de überprüfen, und poste das ergebnis chaosman |
Danke Chaosman für deine schnelle hilfe. Ich habe mal alles zusammen gefasst was ich heraus gefunden habe. PestPatrol Ergebnis: Scan of 29.01.2005 13:17:23 Pests found: 2 Area scanned: C:\ Pest: e2give Pest Info: Category: Hijacker Release Date: 7/12/2004 0:00:00 Background Info: Click here File Info: In Registry: HKEY_LOCAL_MACHINE\software\e2g Certainty: Confirmed Threatens: Liability Risk: Low. Advice: Delete or ignore Action: Ignored ~~~ Pest: E2Give ( charity network) Directory Pest Info: Category: Adware Release Date: 8/6/2004 0:00:00 Background Info: Click here File Info: In Directory: C:\Programme\e2g Date: 28.01.2005 23:20:28 Certainty: Confirmed Threatens: Confidentiality, Productivity, Liability Risk: Low. Advice: Delete when empty Action: Ignored ------------------------------------------------------------------------------------------------------------------------------ Antivir Guard Ergebnis: C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\K9UBS1YJ\IEBHOS[1].DLL Ist das Trojanische Pferd TR/VB.qn.C ~~~ C:\PROGRAMME\E2G\IEBHOS.DLL Ist das Trojanische Pferd TR/VB.qn.C C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\4PQV8LIF\IEBHOS[1].DLL Ist das Trojanische Pferd TR/VB.qn.C C:\PROGRAMME\E2G\IEBHOS.DLL Ist das Trojanische Pferd TR/VB.qn.C ------------------------------------------------------------------------------------------------------------------- Manuelle Beseitigung: Ohne Erfolg, da sagt er das er die Datei nicht finden kann ( habe es auch mit den Pfad C:\PROGRAMME\E2G\IEBHOS.DLL probiert) Or, for the IeBHOs variant: cd "%WinDir%\System" regsvr32 /u "C:\E2G\iebhos.dll" Restart the computer and you should be able to delete the folder 'E2Give' in Program Files (E2Give variant), or 'E2G' in the C: drive (IeBHOs variant). You can also open the registry (Start->Run->regedit) and delete the key HKEY_LOCAL_MACHINE\SOFTWARE\E2Give to clean up, if you like. --------------------------------------------------------------------------- Frage Kann ich den Ordner (C:\System Volume Information löschen???) --------------------------------------------------------------------------- Update mache ich jetzt sofort. Mit Deinen zweiten Link das klappte nicht, weil wo angeblich der Virus wäre ist leider keine Datei mit jenen namen vorhanden. |
Hi, Zitat:
ob sie jetzt zu sehen ist, wenn ja dann manuell löschen. Lade Dir Clearprog Haken bei alles Löschen rein und dann auf löschen. Keine Angst sind nur temp Dateien und Deine Temporary Internet Files,Cookies und solcher Schrott Zitat:
Lade Dir eScan Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu. (Shadowdance zitiert) --> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: ***** Scanning complete. ***** --> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert) http://www.cosgan.org/images/midi/froehlich/k010.gif Gruß Gigamail |
Vielen Dank dir auch Gigamail für deine Hilfe. Ich konnte die Manuelle Beseitigung wie (unten angegeben) diesmal erfolgreich durchführen. Mein fehler war das der Antivir Guard immer gleich ansprang und ich gewählt hatte "Virus beseitigen/löschen" deswegen war die Datei (iebhos.dll) nicht vorhanden. Den Befehl "Systemdateien ausblenden hatte ich auch schon behoben" deshalb hatte ich mich so gewundert. Or, for the IeBHOs variant: cd "%WinDir%\System" regsvr32 /u "C:\E2G\iebhos.dll" Restart the computer and you should be able to delete the folder 'E2Give' in Program Files (E2Give variant), or 'E2G' in the C: drive (IeBHOs variant). You can also open the registry (Start->Run->regedit) and delete the key HKEY_LOCAL_MACHINE\SOFTWARE\E2Give to clean up, if you like. ------------------------------------------------------------------------------------------------------------------ Service Pack 2 ist installiert. Zu meiner Frage Kann ich den Ordner (C:\System Volume Information löschen???), das hatte ich deshalb gefragt weil mein Virusscanner in diesen Ordner Trojaner gemeldet hat, sowie auch der eScan es macht: Hier die mwxface.log Ergebniss: [msvLclnt.dll] [0x00000f3c] 29/01/2005 17:57:47:031 :ModuleName = C:\Bases\mwav\mwavscan.com [msvLclnt.dll] [0x00000f3c] 29/01/2005 17:57:47:031 :Registry Key Deleted Properly!!! [msvLclnt.dll] [0x00000f3c] 29/01/2005 17:57:48:078 :Options Set by External applications mwavscan.com are 9896960 (0x970400): [msvLclnt.dll] [0x00000f3c] 29/01/2005 17:57:48:078 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN [msvLclnt.dll] [0x00000f3c] 29/01/2005 17:57:48:078 :TimeOut : ffffffff [msvLclnt.dll] [0x00000f3c] 29/01/2005 17:57:48:078 :Priority : NORMAL [msvLclnt.dll] [0x00000f3c] 29/01/2005 17:57:48:406 :VirusCount = 117012 Latest Date = 2005/01/28 [msvLclnt.dll] [0x00000f90] 29/01/2005 18:16:21:937 :[00000001] File C:\System Volume Information\_restore{9EDEB5D8-9C8A-4C24-AD56-81EC81D3F910}\RP54\A0011625.exe infected by not-a-virus:AdWare.WebHancer [msvLclnt.dll] [0x00000f90] 29/01/2005 18:16:33:906 :[00000001] File C:\System Volume Information\_restore{9EDEB5D8-9C8A-4C24-AD56-81EC81D3F910}\RP54\A0011801.exe infected by Trojan-Spy.HTML.VB.eh [msvLclnt.dll] [0x00000f90] 29/01/2005 18:16:45:125 :[00000001] File C:\System Volume Information\_restore{9EDEB5D8-9C8A-4C24-AD56-81EC81D3F910}\RP56\A0012050.exe infected by TrojanDropper.Win32.Agent.k [msvLclnt.dll] [0x00000f90] 29/01/2005 18:16:59:390 :[00000001] File C:\System Volume Information\_restore{9EDEB5D8-9C8A-4C24-AD56-81EC81D3F910}\RP57\A0012441.exe infected by TrojanDownloader.Win32.Small.vt [msvLclnt.dll] [0x00000f90] 29/01/2005 18:16:59:421 :[00000001] File C:\System Volume Information\_restore{9EDEB5D8-9C8A-4C24-AD56-81EC81D3F910}\RP57\A0012442.exe infected by TrojanDropper.Win32.Small.kt [msvLclnt.dll] [0x00000f90] 29/01/2005 18:16:59:546 :[00000001] File C:\System Volume Information\_restore{9EDEB5D8-9C8A-4C24-AD56-81EC81D3F910}\RP57\A0012446.exe infected by not-a-virus:AdWare.BargainBuddy.n [msvLclnt.dll] [0x00000f90] 29/01/2005 18:16:59:625 :[00000001] File C:\System Volume Information\_restore{9EDEB5D8-9C8A-4C24-AD56-81EC81D3F910}\RP57\A0012447.dll infected by not-a-virus:AdWare.BargainBuddy.l [msvLclnt.dll] [0x00000f90] 29/01/2005 18:16:59:671 :[00000001] File C:\System Volume Information\_restore{9EDEB5D8-9C8A-4C24-AD56-81EC81D3F910}\RP57\A0012448.dll infected by not-a-virus:AdWare.BargainBuddy.l [msvLclnt.dll] [0x00000f90] 29/01/2005 18:16:59:734 :[00000001] File C:\System Volume Information\_restore{9EDEB5D8-9C8A-4C24-AD56-81EC81D3F910}\RP57\A0012449.dll infected by not-a-virus:AdWare.BargainBuddy.l [msvLclnt.dll] [0x00000f90] 29/01/2005 18:16:59:937 :[00000001] File C:\System Volume Information\_restore{9EDEB5D8-9C8A-4C24-AD56-81EC81D3F910}\RP58\snapshot\MFEX-14.DAT infected by not-a-virus:AdWare.BiSpy.t [msvLclnt.dll] [0x00000f90] 29/01/2005 18:17:04:671 :[00000001] File C:\System Volume Information\_restore{9EDEB5D8-9C8A-4C24-AD56-81EC81D3F910}\RP58\A0012482.dll infected by not-a-virus:AdWare.BiSpy.t [msvLclnt.dll] [0x00000f90] 29/01/2005 18:17:05:546 :[00000001] File C:\System Volume Information\_restore{9EDEB5D8-9C8A-4C24-AD56-81EC81D3F910}\RP58\A0012518.exe infected by not-a-virus:Tool.Win32.HTPatch.a [msvLclnt.dll] [0x00000f90] 29/01/2005 18:20:00:843 :[00000001] File C:\System Volume Information\_restore{9EDEB5D8-9C8A-4C24-AD56-81EC81D3F910}\RP61\A0016309.dll infected by not-a-virus:AdWare.BHO.E2Give.a [msvLclnt.dll] [0x00000f90] 29/01/2005 18:20:26:546 :Virusunt = 117012 Latest Date = 2005/01/28 Soll ich nochmal ein Logfile posten??? MfG maik aus L.E. |
@Struppibanter Zitat: Frage Kann ich den Ordner (C:\System Volume Information löschen???) Den Ordner kannst Du nicht löschen der ist für die Systemwiederherstellung systemwiederherstellung deaktivieren, neu booten, systemwiederherstellung aktivieren chaosman |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board