Bitte Helfen! Kenne Mich Mit Trojanern Null Aus!
 

Hallo Leute !

Ich habe grosse Probleme mit Trojanern und Programmen, die ich eigentlich nie installiert habe :snyper: ! Habe mir Hijack This runtergeladet, habe aber keine Ahnung wie ich das Ergebnis auswerten soll und was ich eigentlich löschen muss :headbang: . Kann mir bitte jemand helfen?



Mein Log lautet :

Logfile of HijackThis v1.99.0
Scan saved at 16:23:04, on 19.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Pamela\pamela.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Winhelp Legal 2004\Winhelp Legal 2004.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Mari\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [wipe cdrom mix grey] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\start more wipe cdrom\basesave.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [pamela.exe] "C:\Programme\Pamela\pamela.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InCD Helper - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: ISSvc - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Odyssey Client - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe



Danke im voraus!

@marie1
Den Log auswerten kann man auf www.hijackthis.de.
Die Datei bitte bei http://virusscan.jotti.org/ checken. Ergebnis posten.

danke für deine hilfe! hab alles genauso gemacht, wie du es mir gesagt hast. pamela ist mein skypebeantworter, die datei ist in ordnung. habe mein log ausgewertet und zwei dateien fixiert. nur das hier ist mir unklar :


O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' missing


Böse

Diese Einträge sollten nicht manuell gelöscht werden! Beste Möglichkeit zur Reparatur bietet LSPFix von Cexx.org. Prüfen Sie Ihre Festplatte mit Spybot S&D von Kolla.de oder LSPFix von Cexx.org!


habe mir das programm von kalla.de runtergeladet und wie geht es jetzt weiter? :o


danke nochmal!

Hi , ich habs geschafft! :party: Hätte aber noch eine Frage- kennst du das Programm Spyware Doctor? Nach diesem Programm hätte ich 28 Infizierungen, aber HiJack This findet nichts...Kannst du mir einen Rat geben? :)

Danke !

@marie1
Schön ;).
Nicht wirklich
Tue bitte Folgendes:
1. Temporary Internet Files -Ordner leeren:
Start/Einstellungen/Systemsteuerung/Internetoptionen/Dateien löschen/Alle Offlineinhalte löschen...
2.Papierkorb leeren
3. Nur bei Windows ME/XP: Systemwiederherstellung abschalten
4. Infected-Ordner des Antivirus-Programms, ggf. von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig.
Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. Darüber hinaus soll dies manuell erfolgen.
5. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.

Hi :o


Hab hoffentlich alles richtig gemacht! Log ist lang ... wirklich sehr sehr lang :teufel1: , deshalb poste ich nur die Virus Log Information. Wenn du doch alles brauchst, kopiere ich es später rein.


Wed Apr 20 09:47:13 2005 => Total Objects Scanned: 41956
Wed Apr 20 09:47:13 2005 => Total Virus(es) Found: 34
Wed Apr 20 09:47:13 2005 => Total Disinfected Files: 0
Wed Apr 20 09:47:13 2005 => Total Files Renamed: 0
Wed Apr 20 09:47:13 2005 => Total Deleted Objects: 0
Wed Apr 20 09:47:13 2005 => Total Errors: 14
Wed Apr 20 09:47:13 2005 => Time Elapsed: 00:29:02
Wed Apr 20 09:47:13 2005 => Virus Database Date: 2005/04/18
Wed Apr 20 09:47:13 2005 => Virus Database Count: 126450

Wed Apr 20 09:47:13 2005 => Scan Completed.

ups :headbang: wie ich sehe hats nicht geklappt... man kann wahrscheinlich gar nichts von dem e-scan kopieren...wie kann ich dir log posten? :(

Lade diese Datei mittels Rechtsklick-> "Ziel speichern unter..." runter und fuehre sie aus. Poste dann den Inhalt der c:\eScan_neu.txt.

hi :o

ich kann die datei zwar speichern, aber nicht ausführen. woran kann es liegen?

Liebe Grüsse

@marie1
Was möchtest du ausführen? Die Datei soll [dings_bums].txt heißen. Dabei geht die mit dem Windows-Editor, Word (Pad) usw. auf. Markieren-Kopieren- (hier) Einfügen.

es ist keine textdatei, sondern Stapelverarbeitungsdatei für MS-DOS

:lach: muss mich halt entschuldigen.. es gibt wirklich zwei textdateien dazu, aber komischer weise habe ich sie nicht alle in einem ordner gespeichert.. deshalb die verwirrung!

sorry!

die eine datei (AVPCallback):

[0x00000ea0] 20/04/2005 11:26:31:490 :[C:\DOKUME~1\Mari\LOKALE~1\Temp\vlist.txt]Virus List was Generated Successfully!!!


und die andere (vlist) :

10

das sind die einzigen textdateien... und habe keine ahnung, worum es geht! :(

:eek:

umgekehrt...

vlist sagt: [0x00000ea0] 20/04/2005 11:26:31:490 :[C:\DOKUME~1\Mari\LOKALE~1\Temp\vlist.txt]Virus List was Generated Successfully!!!


und AVPCallback lautet 10

Wenn du eScan richtig ausgeführt hast (eScan wurde nach c:\bases bzw c:\bases_x entpackt), findest du nach dem Doppelklick auf die Stapelverarbeitungsdatei für MS-DOS die Datei c:\eScan_neu.txt auf deiner Festplatte. Den Inhalt dieser Datei brauchen wir.

wahrscheinlich habe ich eScan nicht richtig ausgeführt :heulen: wo kann ich ihn wieder runterladen?

@marie1
http://www.trojaner-board.com/showpo...83&postcount=5 ;)

genau da hab ich eScan auch vorher runtergeladet...irgendwas mache ich doch nicht richt! :headbang: ich lade die datei mwavscan.com runter und dann in /c:basis speichern... und dann ausführen :crazy: ist das richtig so?

meinst du das hier :


if not exist c:\bases\mwav.log goto 1
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > C:\eScan_alt.txt
echo Funde für "infected" >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
findstr /i /n "infected" c:\bases\mwav.log >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
echo Funde für "tagged" >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
findstr /i /n "tagged" c:\bases\mwav.log >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
echo ~~~~~~~ © Haui ;-) ~~~~~~~ >>C:\eScan_alt.txt
:1
if not eXist c:\bases_x\mwav.log goto 2
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > C:\eScan_neu.txt
echo Funde für "infected" >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
findstr /i /n "infected" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
echo Funde für "tagged" >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
findstr /i /n "tagged" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
echo ~~~~~~~ © Haui ;-) ~~~~~~~ >>C:\eScan_neu.txt
:2 exit


:(


sorry, wenn ich lässtig bin. kenne mich aber wirklich null aus!

@marie1

Öffne die mwav.log im Ordner C:\bases_x -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
Zitat Cidre


chaosman

Nein, das ist die Datei, die abgespeichert als find.bat das ausführt, was chaosman beschreibt: Hätte dir eine Menge Arbei erspart, aber mach das, was chaosman schreibt, wenn dir die andere Methode zu kompliziert ist...

danke chaosman! :o

Wed Apr 20 10:19:24 2005 => File C:\WINDOWS\system32\instsrv.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f. No Action Taken

Wed Apr 20 10:25:54 2005 => File C:\WINDOWS\system32\instsrv.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f. No Action Taken.


Wed Apr 20 11:28:26 2005 => File C:\WINDOWS\system32\instsrv.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f. No Action Taken

Wed Apr 20 11:50:46 2005 => File C:\WINDOWS\system32\instsrv.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f. No Action Take


Wed Apr 20 10:32:26 2005 => File System Found infected by "ezula Spyware/Adware" Virus. Action Taken: No Action Taken.

2005 => System found infected with ezula Spyware/Adware (instsrv.exe)! Action taken: No Action Taken.

Wed Apr 20 10:32:25 2005 => File System Found infected by "vendor Spyware/Adware" Virus. Action Taken: No Action Taken.

2005 => System found infected with vendor Spyware/Adware! Action taken: No Action Taken.

2005 => File System Found infected by "igor v. gunko Spyware/Adware" Virus. Action Taken: No Action Taken.

2005 => System found infected with igor v. gunko Spyware/Adware! Action taken: No Action Taken.

Wed Apr 20 10:32:25 2005 => File System Found infected by "BetterInternet Spyware/Adware" Virus. Action Taken: No Action Taken.

2005 => System found infected with BetterInternet Spyware/Adware ({8E0D8965-B97B-468D-8306-A05929E439C1})! Action taken: No Action Taken.

Wed Apr 20 10:32:25 2005 => File System Found infected by "BetterInternet Spyware/Adware" Virus. Action Taken: No Action Taken.

Wed Apr 20 10:32:25 2005 => File System Found infected by "BetterInternet Spyware/Adware" Virus. Action Taken: No Action Taken.

Wed Apr 20 10:32:25 2005 => System found infected with BetterInternet Spyware/Adware ({59EBB576-CEB0-42FA-9917-DA6254A275AD})! Action taken: No Action Taken.

2005 => System found infected with BetterInternet Spyware/Adware ({59EBB576-CEB0-42FA-9917-DA6254A275AD})! Action taken: No Action Taken.



Wed Apr 20 10:27:00 2005 => File C:\DOKUME~1\Mari\LOKALE~1\Temp\734e34c9.exe infected by "Trojan-Downloader.Win32.Swizzor.cc" Virus. Action Taken: No Action Taken.


Wed Apr 20 10:27:00 2005 => File C:\DOKUME~1\Mari\LOKALE~1\Temp\750089a4.exe infected by "Trojan-Downloader.Win32.Swizzor.cc" Virus. Action Taken: No Action Taken.


Wed Apr 20 10:27:00 2005 => File C:\DOKUME~1\Mari\LOKALE~1\Temp\7825aa50.exe infected by "Trojan-Downloader.Win32.Swizzor.cc" Virus. Action Taken: No Action Taken.


Wed Apr 20 10:27:01 2005 => File C:\DOKUME~1\Mari\LOKALE~1\Temp\7898a506.exe infected by "Trojan-Downloader.Win32.Swizzor.cc" Virus. Action Taken: No Action Taken.




Wed Apr 20 10:27:01 2005 => File C:\DOKUME~1\Mari\LOKALE~1\Temp\7ade0a41.exe infected by "Trojan-Downloader.Win32.Swizzor.cc" Virus. Action Taken: No Action Taken.




Wed Apr 20 10:27:01 2005 => File C:\DOKUME~1\Mari\LOKALE~1\Temp\7c2b603d.exe infected by "Trojan-Downloader.Win32.Swizzor.cc" Virus. Action Taken: No Action Taken.


Wed Apr 20 10:27:01 2005 => File C:\DOKUME~1\Mari\LOKALE~1\Temp\7d0363ca.exe infected by "Trojan-Downloader.Win32.Swizzor.cc" Virus. Action Taken: No Action Taken.



Wed Apr 20 10:27:01 2005 => File C:\DOKUME~1\Mari\LOKALE~1\Temp\7d71496f.exe infected by "Trojan-Downloader.Win32.Swizzor.cc" Virus. Action Taken: No Action Taken.

\Temp\7d732753.exe infected by "Trojan-Downloader.Win32.Swizzor.cc" Virus. Action Taken: No Action Taken.

\Temp\7e2fdd3a.exe infected by "Trojan-Downloader.Win32.Swizzor.cc" Virus. Action Taken: No Action Taken.

\Temp\7ed29cea.exe infected by "Trojan-Downloader.Win32.Swizzor.cc" Virus. Action Taken: No Action Taken.


Wed Apr 20 10:27:01 2005 => File C:\DOKUME~1\Mari\LOKALE~1\Temp\7f26dca9.exe infected by "Trojan-Downloader.Win32.Swizzor.cc" Virus. Action Taken: No Action Taken


Wed Apr 20 10:27:01 2005 => File C:\DOKUME~1\Mari\LOKALE~1\Temp\7f2facaf.exe infected by "Trojan-Downloader.Win32.Swizzor.cc" Virus. Action Taken: No Action Taken.

danke haui45! hab ich diesmal alles richtig gemacht? :o

@marie1
Fast. Zum dritten mal:
Lade bitte dieses Bereinigungsprogramm herunter und mach deinen PC eingermaßen sauberer.

danke. hab das programm runtergaladet und hoffe diesmal lösche ich alles. ich bin mir sicher, dass ich vorher alles in dem ordner gelöscht habe- keine ahnung wieso es nicht geklappt hat...

also..manche dateien in dem ordner lassen sich nicht löschen!

jetzt schaut es so aus :


Wed Apr 20 18:58:45 2005 => System found infected with BetterInternet Spyware/Adware ({59EBB576-CEB0-42FA-9917-DA6254A275AD})! Action taken: No Action Taken.

Wed Apr 20 18:58:45 2005 => System found infected with BetterInternet Spyware/Adware ({59EBB576-CEB0-42FA-9917-DA6254A275AD})! Action taken: No Action Taken.


Wed Apr 20 18:58:45 2005 => File System Found infected by "BetterInternet Spyware/Adware" Virus. Action Taken: No Action Taken.


Wed Apr 20 18:58:45 2005 => System found infected with BetterInternet Spyware/Adware ({8E0D8965-B97B-468D-8306-A05929E439C1})! Action taken: No Action Taken.

Wed Apr 20 18:58:45 2005 File System Found infected by "BetterInternet Spyware/Adware" Virus. Action Taken: No Action Taken.

Wed Apr 20 18:58:45 2005 => File System Found infected by "BetterInternet Spyware/Adware" Virus. Action Taken: No Action Taken.

Wed Apr 20 18:58:46 2005 => System found infected with igor v. gunko Spyware/Adware! Action taken: No Action Taken.

2005 => System found infected with vendor Spyware/Adware! Action taken: No Action Taken

2005 => File System Found infected by "vendor Spyware/Adware" Virus. Action Taken: No Action Taken.

Wed Apr 20 18:58:46 2005 => System found infected with ezula Spyware/Adware (instsrv.exe)! Action taken: No Action Taken.

Wed Apr 20 18:58:46 2005 => File System Found infected by "ezula Spyware/Adware" Virus. Action Taken: No Action Taken.


Wed Apr 20 18:59:19 2005 => File C:\WINDOWS\system32\instsrv.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f. No Action Taken.

Poste mal folgendes aus der mwav.log (steht ganz am Ende):

Wed Apr 20 19:00:45 2005 => ***** Scanning complete. *****

Wed Apr 20 19:00:45 2005 => Total Objects Scanned: 3456
Wed Apr 20 19:00:45 2005 => Total Virus(es) Found: 6
Wed Apr 20 19:00:45 2005 => Total Disinfected Files: 0
Wed Apr 20 19:00:45 2005 => Total Files Renamed: 0
Wed Apr 20 19:00:45 2005 => Total Deleted Objects: 0
Wed Apr 20 19:00:45 2005 => Total Errors: 0
Wed Apr 20 19:00:45 2005 => Time Elapsed: 00:02:50
Wed Apr 20 19:00:45 2005 => Virus Database Date: 2005/04/18
Wed Apr 20 19:00:45 2005 => Virus Database Count: 126450

Wed Apr 20 19:00:45 2005 => Scan Completed.

-> eScan nochmals ausführen, aber diesmal richtig!

Nur um's deutlich zu machen:
1.) eScan muss im Verzeichnis c:\bases_x laufen. (hast du evtl. gemacht)

2.) eScan muss vor dem Scan aktualisiert werden! (hast du nicht gemacht)

2.) eScan muss im abgesicherten Modus ausgeführt werden! (hast du evtl. gemacht)

3.) Die Haken müssen so gesetzt sein, wie es auf der Grafik dargestellt ist:
http://www.trojaner-info.de/hijacker/bilder/escan2.jpg
(hast du nicht gemacht)

danke danke danke Haui45 :o ...also so schaut es jetzt aus:



Wed Apr 20 20:59:30 2005 => ***** Scanning complete. *****

Wed Apr 20 20:59:30 2005 => Total Objects Scanned: 40436
Wed Apr 20 20:59:30 2005 => Total Virus(es) Found: 8
Wed Apr 20 20:59:30 2005 => Total Disinfected Files: 0
Wed Apr 20 20:59:30 2005 => Total Files Renamed: 0
Wed Apr 20 20:59:30 2005 => Total Deleted Objects: 0
Wed Apr 20 20:59:30 2005 => Total Errors: 17
Wed Apr 20 20:59:30 2005 => Time Elapsed: 01:06:40
Wed Apr 20 20:59:30 2005 => Virus Database Date: 2005/04/18
Wed Apr 20 20:59:30 2005 => Virus Database Count: 126450


Wed Apr 20 19:53:18 2005 => File System Found infected by "BetterInternet Spyware/Adware" Virus. Action Taken: No Action Taken

Wed Apr 20 19:53:18 2005 => System found infected with igor v. gunko Spyware/Adware! Action taken: No Action Taken.

Wed Apr 20 19:53:18 2005 => File System Found infected by "igor v. gunko Spyware/Adware" Virus. Action Taken: No Action Taken


Wed Apr 20 19:53:18 2005 => System found infected with vendor Spyware/Adware! Action taken: No Action Taken.



Wed Apr 20 19:53:18 2005 => File System Found infected by "vendor Spyware/Adware" Virus. Action Taken: No Action Taken.


Wed Apr 20 19:53:19 2005 => System found infected with ezula Spyware/Adware (instsrv.exe)! Action taken: No Action Taken.

Wed Apr 20 19:53:19 2005 => File System Found infected by "ezula Spyware/Adware" Virus. Action Taken: No Action Taken.


Wed Apr 20 20:57:14 2005 => File C:\WINDOWS\system32\instsrv.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f. No Action Taken.

Wed Apr 20 19:54:18 2005 => File C:\WINDOWS\system32\instsrv.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f. No Action Taken.



Wed Apr 20 20:02:33 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\start more wipe cdrom\Pokelist.exe infected by "Trojan-Downloader.Win32.Swizzor.cr" Virus. Action Taken: No Action Taken.

Lösche die Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\start more wipe cdrom\Pokelist.exe

Überprüfe die Datei C:\WINDOWS\system32\instsrv.exe online bei http://virusscan.jotti.org/de und psote das Ergebnis.

Auslastung: 0% 100%

Datei: instsrv.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir PMS/ServiceRunner.F possible malicious software gefunden
Avast Win32:Trojan-gen. {Other} gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web not a virus Tool.SrvRunner gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet HackerTool/Servicerunner.F gefunden
Kaspersky Anti-Virus not-a-virus:RiskWare.Tool.ServiceRunner.f gefunden
mks_vir .Bargainbuddy gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VBA32 RiskWare.Tool.ServiceRunner.f gefunden

:( und wie geht es jetzt weiter?

@marie1
Bitte mach keine Fullquoten, insbesondere von dir selbst ;). Von BagrainBuddy habe ich nur das gefunden: http://www.doxdesk.com/parasite/BargainBuddy.html. Mittlerweile habe ich gedacht: du bist mit der Säuberung des PCs zurecht gekommen :).

Bei der Datei instsrv.exe handelt es sich um ein Programm, welches andere Programme als Dienst ausführbar macht. Diese Programme starten dann bereits vor der Anmeldung am PC und sind etwas schwerer zu entfernen.
Die Datei wird von einigen Virenscannern als bösartig erkannt, da sie in der Vergangenheit von einigen bösartigen Programmen misbraucht wurde. Wenn nicht benötigt dann einfach löschen.

:daumenhoc Danke! werd die datei vielleicht löschen, bin mir aber nicht sicher, ob sie brauche...

:heilig: sorry, aber dachte, man hat mich vergessen. danke für die info und für die hilfe! es tut mir leid, wenn ich lässtig war.
:D

liebe grüsse
marie