|
Bin am verzweifeln. Vielleicht kann jemand helfen... Ich hab anscheind einige Viren / Trojaner oder was weiß ich auf dem Rechner. Hab schon Adaware / CWS / ESCan (hat einiges gefunden, konnte ich aber nicht entfernen da keine Vollversion) usw. laufen lassen.:snyper: Hab ausserdem als Virenscanner immer am laufen Norton Symantec Corporate Edt. 9 aktuell. Aber die hat nichts gefunden :pfui: . Das Problem was ich mit dem Rechner hab ist das der Mauszeiger einfach weg ist. Ich kann die Maus noch bedienen aber ich sehe keine Zeiger. Hab mal das Hijack mit hochgeladen. Bzw. ich poste es lieber hier rein: Logfile of HijackThis v1.99.1 Scan saved at 22:25:40, on 02.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\SDrees\Desktop\Hijack This\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lavasoftnews.com/ms/display_main.php?tac=WhenU F2 - REG:system.ini: Shell=explorer.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: CWShredder Service - InterMute, Inc. - F:\CWShredder.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe Könnt ihr mir helfen wie ich weiter vorgehen soll. Der Rechner hat keine Internetverbindung. Ich muss also alles so aktuell halten. :mad: Grüsse Karina |
@Karina_N Zitat:
|
Servus! Ich nehme an, dass das HJT Log aus dem abgesichertem Modus kommt - wenn ja, poste bitte eines aus dem "normalen" Modus. Und das escan Ergebnis wäre auch interessant! (im Log nach 'tagged', 'infected' und 'offending' suchen und die Ergebnisse hier posten) stupormundi ~~Edit~~ Jetzt warst Du schneller rene-gad :party: ~~/edit~~ |
Achso logisch, sorry bin zwar nicht blond aber.....:headbang: Kann ich leider erst heute abend machen. |
So nun vom normalen System. Logfile of HijackThis v1.99.1 Scan saved at 20:32:06, on 03.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Symantec Client Security\Symantec Client Firewall\ISSVC.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec Client Security\Symantec AntiVirus\DefWatch.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Symantec Client Security\Symantec AntiVirus\Rtvscan.exe C:\Programme\Symantec Client Security\Symantec Client Firewall\SymSPort.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~1\SYMANT~2\VPTray.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Symantec Client Security\Symantec AntiVirus\vpc32.exe C:\WINDOWS\system32\mmc.exe C:\Dokumente und Einstellungen\xxx\Desktop\Hijack This\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lavasoftnews.com/ms/display_main.php?tac=WhenU O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~2\VPTray.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: CWShredder Service - InterMute, Inc. - F:\CWShredder.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec AntiVirus\DefWatch.exe O23 - Service: IS Service (ISSVC) - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec Client Firewall\ISSVC.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec Client Security\Symantec AntiVirus\SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec AntiVirus\Rtvscan.exe O23 - Service: Symantec SecurePort (SymSecurePort) - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec Client Firewall\SymSPort.exe Das Problem tritt sporadisch auf. Mal 5Min mal eine. Ich weiß nicht mehr weiter. Muss gleich erst mal wieder neu starten dann kann ich von EScan das Log noch schicken.... Karina |
So hier noch der Escan LOG: Tue Jan 03 20:26:15 2006 => Offending Folder found: C:\Dokumente und Einstellungen\xxx\Eigene Dateien\diverses\elmeg\wintools Tue Jan 03 20:26:20 2006 => Object "ibis Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Tue Jan 03 20:26:21 2006 => Offending Folder found: C:\Dokumente und Einstellungen\xxx\Eigene Dateien\favorites\autos Tue Jan 03 20:26:21 2006 => Object "gohip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Tue Jan 03 20:26:24 2006 => Offending file found: C:\Dokumente und Einstellungen\xxx\Eigene Dateien\favorites\fun & games\games.lnk Tue Jan 03 20:26:24 2006 => System found infected with hotbar Spyware/Adware (games.lnk)! Action taken: Keine Aktion vorgenommen. Tue Jan 03 20:26:24 2006 => Offending Folder found: C:\Dokumente und Einstellungen\xxx\Eigene Dateien\favorites\going places Tue Jan 03 20:26:24 2006 => Object "yoursitebar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Tue Jan 03 20:26:24 2006 => Offending Folder found: C:\Dokumente und Einstellungen\xxx\Eigene Dateien\favorites\hobby\modellbau\autos Tue Jan 03 20:26:24 2006 => Object "gohip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Tue Jan 03 20:26:25 2006 => Offending Folder found: C:\Dokumente und Einstellungen\xxx\Eigene Dateien\favorites\hobby\modellbau\händler\autos Tue Jan 03 20:26:25 2006 => Object "gohip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Tue Jan 03 20:26:25 2006 => Offending file found: C:\Dokumente und Einstellungen\xxx\Eigene Dateien\favorites\hobby\wallpaper\screen savers.url Tue Jan 03 20:26:25 2006 => System found infected with network1.popups Adware (screen savers.url)! Action taken: Keine Aktion vorgenommen. Tue Jan 03 20:26:26 2006 => Offending file found: C:\Dokumente und Einstellungen\xxx\Eigene Dateien\favorites\wallpaper\screen savers.url Tue Jan 03 20:26:26 2006 => System found infected with network1.popups Adware (screen savers.url)! Action taken: Keine Aktion vorgenommen. Tue Jan 03 20:26:29 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spybot - search & destroy\backups\wbemess.lo_ Tue Jan 03 20:26:29 2006 => System found infected with hotbar Spyware/Adware (wbemess.lo_)! Action taken: Keine Aktion vorgenommen. Tue Jan 03 20:26:29 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\symantec\common client\settings.dat Tue Jan 03 20:26:29 2006 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: Keine Aktion vorgenommen. Tue Jan 03 20:31:03 2006 => Gescannte Dateien: 22041 Tue Jan 03 20:31:03 2006 => Gefundene Viren: 10 Tue Jan 03 20:31:03 2006 => Anzahl der desinfizierten Dateien: 0 Tue Jan 03 20:31:03 2006 => Umbenannte Dateien: 0 Tue Jan 03 20:31:03 2006 => Anzahl der gelöschten Dateien: 0 Tue Jan 03 20:31:03 2006 => Anzahl Fehler: 67 Tue Jan 03 20:31:03 2006 => Dauer des Scans bisher: 00:07:05 Tue Jan 03 20:31:03 2006 => ***** Scan vollständig. ***** Tue Jan 03 20:31:03 2006 => Virus-Datenbank Datum: 12/26/2005 Tue Jan 03 20:31:03 2006 => Virus-Datenbank Zähler: 167489 Grüsse Karina |
Keiner ne Idee?? Hab mit Symantec nochmal gescannt, wieder nix. Dann mit dem Ewido:knuddel: . Der hat welche gefunden. Hab mir mal welche notiert: Not-A-Virus.PSWTool.Win32PWDump Not-A-Virus.PSWTool.Win32PWPSKILL Dropper.Delf.fd und mehrere Dialer.Gerneric Hab sie dann erstmal alles gelöscht. Leider konnte ich sonst nichts mehr machen. Wie würdet ihr weiter vorgehen? Karina |
@Karina_N Da meist der Funde in deinem Eigene Dateien-Ordner liegt, sollst du die mit www.virustotal.com checken und entscheiden, was du danach tun solltest. Wenn ich ehrlich bin, klingt das Ganze für mich mehr nach Fehlalarme. Allerdings: ich persönlich glaube keinem Tool, denn jedes Tool kann u.U. auch mit Malware kompromittiert werden. Format c:\ ist nachwievor die sicherste Methode, den PC zu säubern. |
Nun damit hab ich überhaupt keine Probleme den neu aufzusetzen. Hab ich vor kurzem ja auch schon gemacht, nur anscheind hab ich den Virus etc. immer wieder mitgenommen, denn das Problem kam wieder.:sword2: Denke ich muss erstmal den:teufel1: entfernen und dann neu aufsetzten denn sonst hab ich das gleiche Problem später wieder. Der eigene Dateien Ordner ist mir natürlich sehr wichtig. Aber die Meldungen sind aus dem Favoriten Ordner und die sind nicht wirklich so wichtig.... Werde heut Abend mal noch ein paar Scan im Abgesicherten Modus machen. Hab auch noch drei externe HDD´s die gescannt werden müssen :koch: Karina |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:14 Uhr. |
Copyright ©2000-2024, Trojaner-Board