|
Bitte helft mir! Ich habe einen Virus (ESS.BAT ist weg) Man...man..man! Wie mir DAS auf den Keks mit den Viren geht kann sich wohl der eine oder andere vorstellen :koch: Immer wenn ich meinen PC hochfahre, öffnet sich ein kleines Fenster in dem steht: ESS.BAT kann nicht gefunden werden Also ich habe jetzt alles so gemacht wie HIER beschrieben und hoffe, dass jemand von euch was mit meiner eScan_neu.txt anfangen kann ;) . Ich habe auch keine Lust mein System zu schrotten, da ich es mir mühselig zusammengebaut habe und kein aktuelles Backup habe :schmoll: . Das, was ich habe ist schon 1,5 Jahre alt. Ich wäre Euch echt dankbar für jede kleine Hilfe!!! :daumenhoc hier meine eScan_neu.txt: EDIT: So wie es aussieht, ist meine Datei wohl zu gross (44Kb) um sie hochzufahren. Welche Möglichkeit gibt es denn noch, damit Ihr euch sie mal ansehen könnt und mir dann sagen könnt, wie ich weiter vorzugehen habe. MfG Icequade |
@Icequade Guck mal in dem Forum: http://www.informationsarchiv.net/fo...rag-17789.html und vergleiche dein HJT-Log mit dem geposteten. BTW: Datei von 44kB ist nicht zu groß ;). |
@Rene-gad Zitat:
Eins vorweg: Was genau soll ich da beachten, bei Abweichungen? PS: Werde nochmal versuchen, die Datei hochzuladen. eScan_neu.txt Zitat:
Auch wenn ich sie ins PDF- Format konvertiere, ist sie immernoch knapp 25KB groß. Und wenn ich sie als ganzen Text in den Threat einfügen möchte, dann kommt nach ca. 20 Sekunden ein "Fatal Error......../htdocs/u.s.w MfG Icequade |
@Icequade Du brauchts wohl nicht, den kompletten Log zu posten. Nur "Infected" und "tagged", sowie Total files, Total viruses -Daten. |
Alles klar. habe ich verstanden ;) Also ich habe jetzt nochmal im abgesicherten Modus HJT scannen lassen. Die Datei st nur 8 kb gross. Kann ich diese und die von eScan einfach hier so reinposten??? Wie gesagt, ich kenne mich damit eigentlich überhaupt nicht aus. Ich denke aber ma, dass ich bis jetzt alles richtig gemacht habe. Ich vergleiche jetzt nur noch eben schnell und werde mich dann melden, ok!? By the way: Danke für die schnelle Antwort ;) MfG Icequade |
|
So! Hier hänge ich jetzt mal die hijackthis.log an: hijackthis.log Logfile of HijackThis v1.99.1 Scan saved at 13:41:45, on 10.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\Windows\System32\smss.exe C:\Windows\system32\winlogon.exe C:\Windows\system32\services.exe C:\Windows\system32\lsass.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\Explorer.EXE C:\Für Virus\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.egal.de.vu/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {10060398-E85F-430B-37D1-DA549D95900F} - (no file) O2 - BHO: (no name) - {366DC85E-5EBB-765B-0EA2-2F7A0C71538C} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: (no name) - {AF77D64E-3DEF-1509-75B6-13BF3E924602} - C:\WINDOWS\System32\klwnwcmm.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {E1FD2BD6-D255-D7A8-8D05-6E282D931304} - C:\Windows\system32\fspwdbty.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\Windows\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\Windows\system32\ctfmon.exe O4 - HKCU\..\Run: [iolo System Mechanic Utility Bar] "C:\Programme\iolo\System Mechanic 4\SMUtilityBar.exe" O4 - HKCU\..\Run: [update] C:\WINDOWS\update\hide C:\WINDOWS\update\ess.bat O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: WinMySQLadmin.lnk = C:\apache\mysql\bin\winmysqladmin.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104699126890 O17 - HKLM\System\CCS\Services\Tcpip\..\{9716713F-EA1F-4ECD-A380-13479B28004F}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{C6D0678B-0CC9-4F71-B846-38AC194F313F}: NameServer = 192.168.120.252,192.168.120.253 O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe O23 - Service: ColdFusion MX Application Server - Macromedia Inc. - D:\Internet\Macromedia\coldfusion\runtime\bin\jrunsvc.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\Windows\system32\LEXBCES.EXE O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: kiwemwubbrlk (MsUpdate6) - Unknown owner - C:\Windows\system32\msupd6.exe (file missing) O23 - Service: MySql - Unknown owner - C:/apache/mysql/bin/mysqld-nt.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\Windows\system32\nvsvc32.exe O23 - Service: PHPGeekUtil - Unknown owner - c:\apache\APACHE.EXE" --ntservice (file missing) O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe MfG Icequade |
Lass mal folgende Datei: C:\WINDOWS\update\ess.bat Hier checken: http://virusscan.jotti.org/de/ www.malwareupload.com |
Danke für die schnelle Antwort ;) Also ich habe jetzt die hijackthis.log scannen lassen aber es wurden keine Viren gefunde!? :confused: Danach habe ich mal die eScan_neu.txt scannen lassen, aber es wurden ebenfalls keine Viren gefunden!? :confused: Verstehe ich nicht!!!??? Gibt es noch eine Möglichkeit? MfG Icequade |
Nochmal lesen, was cronos geschrieben hat? Gruß :daumenhoc Yopie |
öhm... Ich finde die ess.bat nicht. Auch wenn ich alle Programme anzeigen lasse :balla: Da sind nur folgende Dateien: Ordner: Charts, files, Wu_cache_0, Wu_cache_1, Wu_cache_2. exe: hide.exe, pv.exe, start.exe, Winupdate.exe. und eine temp.sah MfG Icequade |
Du kannst mal die *exe-Dateien überprüfen. Vermutlich irgendein *Bot, dann müsstest Du formatieren und neu aufsetzen. Vorsorglich hier schon mal die Anleitung: http://www.trojaner-info.de/report_i...nleitung.shtml Gruß :daumenhoc Yopie |
Danke für die schnelle Antwort ;) Hide.exe Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.) Kaspersky Anti-Virus--- not-a-virus:RiskWare.Tool.HideWindows gefunden ------------------------------------------------------------------------- pv.exe Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.) Kaspersky Anti-Virus--- not-a-virus:RiskWare.PrcView.3724 gefunden ------------------------------------------------------------------------- start.exe Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.) Kaspersky Anti-Virus--- not-a-virus:NetCalc.SETI@Home.c gefunden Entdeckte Packprogramme: ASPACK ----------------------------------------------------------------------- WinUpdate.exe Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Keine Viren gefunden... und jetzt??? :( MfG Icequade |
Poste mal die eScan-Funde! Gruß :daumenhoc Yopie |
Liste der Anhänge anzeigen (Anzahl: 1) Danke für die schnelle Antwort ;) oha... :confused: Dann muss ich diese erst einmal abarbeiten. Die ist nämlich knapp 44kb gross und lässt sich ja nicht hochladen. Wäre vielleicht nett, wenn Du mir mit einfachen Worten erklären könntest, wie und was ich rausfiltern kann und darf. Und was ich nicht aus der eScan_neu.txt löschen sollte... :dummguck: EDIT So: habe Sie mal ins pdf- Format konvertiert. ich hoffe, dass das weiterhilft ;) MfG Icequade |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:35 Uhr. |
Copyright ©2000-2025, Trojaner-Board