Trojaner-Board - Bitte mal nagucken

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bitte mal nagucken (https://www.trojaner-board.de/40679-bitte-mal-nagucken.html)

Bitte mal nagucken

Hatte das Problem mit dem MSN Virus und habe danach System neu installiert.
Wollte nur fragen ob mein pc jetzt frei von viren ist

Logfile of HijackThis v1.99.1
Scan saved at 00:11:08, on 7.7.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Arcor\backweb\5141527\Program\SERVIC~1.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Arcor\Anti-Virus\fsgk32st.exe
C:\Programme\Arcor\backweb\5141527\program\fsbwsys.exe
C:\Programme\Arcor\Anti-Virus\FSGK32.EXE
C:\Programme\Arcor\Common\FSMA32.EXE
C:\Programme\Arcor\Anti-Virus\fssm32.exe
C:\Programme\Arcor\Common\FSMB32.EXE
C:\Programme\Arcor\Common\FCH32.EXE
C:\Programme\Arcor\Anti-Virus\fsqh.exe
C:\Programme\Arcor\Common\FAMEH32.EXE
C:\Programme\Arcor\FWES\Program\fsdfwd.exe
C:\Programme\Arcor\Anti-Virus\fsrw.exe
C:\Programme\Arcor\FSPC\fspc.exe
C:\Programme\Arcor\Anti-Virus\fsav32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\Programme\Arcor\Common\FSM32.EXE
C:\Programme\Arcor\FSGUI\ispnews.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\Arcor\ANTI-S~1\fsaw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Arcor\FSGUI\fsguidll.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Arcor\backweb\5141527\Program\fspex.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Arcor\FSGUI\fsavgui.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: MS Explorer - {9B5A95FA-DFAF-31AB-A1AF-8A9FA7F8A98E} - (no file)
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\Arcor\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\Arcor\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\Arcor\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Programme\Arcor\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Arcor Sicherheitspaket.lnk = C:\Programme\Arcor\backweb\5141527\Program\fspex.exe
O8 - Extra context menu item: Dieses Popup &blockieren - C:\Programme\Arcor\Anti-Spyware\blockpopups.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\Arcor\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\Arcor\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\Arcor\FSPC\fspcmsie.dll
O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\Arcor\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\Arcor\Anti-Spyware\ieshield.dll
O9 - Extra button: PacificPoker - {94EDF7B4-4272-4af3-8F8B-4E2F68E225B7} - C:\PROGRA~1\PACIFI~1\pacificpoker.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\Partypoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\Partypoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Arcor Sicherheitspaket (BackWeb Plug-in - 5141527) - F-Secure Corp. - C:\PROGRA~1\Arcor\backweb\5141527\Program\SERVIC~1.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\Arcor\Anti-Virus\fsgk32st.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FSBWSYS - F-Secure Corp. - C:\Programme\Arcor\backweb\5141527\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\Arcor\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Programme\Arcor\FSPC\fshttps\fshttps.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\Arcor\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

Hi,
das sieht nicht wirklich gut aus. :o

Suche folgende Datein bitte (Dateien sichtbar machen) und lass sie mal bei virustotal auswerten:

Zitat:

winlog.exe
winsflt.dll

lg myrtille

EDIT: Außerdem sieht es so aus als hättest du 2 Antivirenprogramme am laufen. Da sind weitere Probleme praktisch vorprogrammiert

In welchem Ordner sind denn die Dateien?

Deswegen sollst du sie ja suchen. :kloppen: Ich weiß nicht wo die Dateien sind. ;)

Stelle bitte alles so ein, wie in dem Link "Dateien sichtbar machen" und benutze dann die Suchfunktion um sie zu finden.

(Wahrscheinlich windows- oder system32ordner)

lg myrtille

Ich habe die winsflt.dll datei 2 mal gefunden.

1: System 32
2: Programme/Arcor/FSPC

lass die ausm system32ordner mal auswerten, auch wenn sie sehr wahrscheinlich gutartig ist. :)
Die winlog hast du nicht gefunden? :(

lg myrtille

ISt noch am Suchen. Aber mein Anti Virus Programm hat heute einen Alarm angezeigt

Beschreibung: Inbound Malware probe
remote adresse:84.130.203.9

Zitat:

Zitat von tomasboy (Beitrag 278088)

ISt noch am Suchen. Aber mein Anti Virus Programm hat heute einen Alarm angezeigt

Deswegen darf man Antivirenprogrammen nicht immer trauen. :blabla:

Zitat:

Beschreibung: Inbound Malware probe
remote adresse:84.130.203.9

Das ist der böse "Deutsche Telekom"-Trojaner, der dich da attackiert hat.
Da kannst du noch sooft windows neuinstallieren, er wird trotzdem wiederkommen und obendrein lässt du ihn monatlich Geld von deinem Konto abbuchen. :blabla:

Im Ernst, das dürfte dein Provider sein. :D Bei solchen Meldungen ist es immer gut, den "Angreifer" zu ermitteln, hier also "84.130.203.9", das geht zb auf dieser Seite: klick.
In den meisten Fällen handelt es sich um Fehlalarme.

lg myrtille

Das sind ja mal gute Neuigkeiten.
Habe die Datei winlog.exe auf der Festplatte c suchen lassen , sie wurde aber nicht gefunden.

STATUS: FINISHEDComplete scanning result of "winsflt.dll", received in VirusTotal at 07.07.2007, 00:39:22 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.7.7.0 07.06.2007 no virus found
AntiVir 7.4.0.39 07.06.2007 no virus found
Authentium 4.93.8 07.06.2007 no virus found
Avast 4.7.997.0 07.06.2007 no virus found
AVG 7.5.0.476 07.06.2007 no virus found
BitDefender 7.2 07.07.2007 no virus found
CAT-QuickHeal 9.00 07.06.2007 no virus found
ClamAV devel-20070416 07.06.2007 no virus found
DrWeb 4.33 07.06.2007 no virus found
eSafe 7.0.15.0 07.06.2007 no virus found
eTrust-Vet 30.8.3769 07.07.2007 no virus found
Ewido 4.0 07.06.2007 no virus found
FileAdvisor 1 07.07.2007 no virus found
Fortinet 2.91.0.0 07.06.2007 no virus found
F-Prot 4.3.2.48 07.06.2007 no virus found
F-Secure 6.70.13260.0 07.06.2007 no virus found
Ikarus T3.1.1.8 07.06.2007 no virus found
Kaspersky 4.0.2.24 07.07.2007 no virus found
McAfee 5069 07.06.2007 no virus found
Microsoft 1.2704 07.06.2007 no virus found
NOD32v2 2383 07.06.2007 no virus found
Norman 5.80.02 07.06.2007 no virus found
Panda 9.0.0.4 07.07.2007 no virus found
Sophos 4.19.0 07.06.2007 no virus found
Sunbelt 2.2.907.0 07.06.2007 no virus found
Symantec 10 07.06.2007 no virus found
TheHacker 6.1.6.143 07.05.2007 no virus found
VBA32 3.12.0.2 07.06.2007 no virus found

Meines Erachtens dürfte die Datei im System32-Ordner sitzen. Du kannst also mal versuchen, die Datei einfach mit dem Pfad bei virustotal hochzuladen:

Zitat:

C:\WINDOWS\System32\winlog.exe

ist es vll. diese hier?

WindowsLogon.manifest

Eher nicht. Das sieht nach ner "normalen" Datei aus. Hast du den Pfad mal ins weiße Fenster von virustotal eingegeben? Wie hat virustotal reagiert?

Eine Idee zur Überprüfung hab ich noch, wir schauen nach den Registryschlüsseln:

Dann suche bitte folgende Registrierungsschlüssel (Start->Ausführen->rededit->suchen):
Wenn du diese findest:

Zitat:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Windows Login = winlog.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Windows Login = winlog.exe

besitzt du ihn hier: klick

Wenn du folgende findest:

Zitat:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
Winlog = "winlog.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
winlog = "winlog.exe"

HKEY_CURRENT_USER\Software\Microsoft\OLE
Winlog = "winlog.exe"

Dann hast du das gewonnen: klick

In beiden Fällen müsstest du neuaufsetzen.
Findest du keins von beiden, dann würde ich dich noch ein paar Analysetools drüberjagen lassen und evtl noch wen um Hilfe fragen.
Aber bisher deutet alles daraufhin, dass das Malware ist! Sorry. :o

lg myrtille

Habe doch noch ezw. gefunden
die datei heißt _winlog1FB0

liegt im ordner c:dokummente und einstellunden/AllUsrers/Anwendungsdaten/Sectaskman

Die Datei liegt sicher im System32-Ordner, gib bitte bei Virustotal ins weiße Fenster folgendes ein:

Zitat:

C:\WINDOWS\System32\winlog.exe

und poste das Ergebnis hier!
EDIT: Hast du den Securitytaskamanger installiert?

lg myrtille

es kommt leider nur diese meldung

0 bytes size received / Se ha recibido un archivo vacio

und wenn ich rededit eingebe erscheint eine Fehlermeldung beim ausführen

Was für eine Meldung kommt denn?
Wenn der Trojaner regedit sperrt, dann wirst du um ein neuaufsetzen nicht drumrumkommen.

Falls du noch Interesse hast, deine Datei auszuwerten. tue folgendes: (ja ich glaub immernoch, dass sich die Datei dort befindet ;))

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://virus-protect.org/artikel/bilder/avanger.png

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\System32\winlog.exe

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

http://virus-protect.org/artikel/bilder/avenger4.png

Poste den Inhalt der C:\avenger.txt Datei.

(Mit vielen Dank an Sunny, der diese schöne Anleitung verfasst hat. :))

regedit funktioniert doch habe vorher ausversehen dededit eingegeben sorry

es erscheint der registrierungs editor was muss ich jezt machen?

bei dem tool kam diese meldung

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: selected file does not appear to be a valid script.
Error code: 0

Bearbeiten->Suchen-> winlog eingeben

Das Ergebnis bitte hier posten!

lg myrtille

ist vll. ne dumme frage aber muss bevor ich suche anklicke der arbeitsplatz blau hinterlegt sein oder ist das egal?

Ich merk das es spät wird. :balla: Hab grad ernsthaft überlegen müssen welchen Arbeitsplatz du meinst und wieso der blau sein soll. :balla:

Da ich es jetzt aber geschnallt hab: :D
Ist eigentlich egal. :)

lg myrtille

Hab was gefunden

Name: winlog
typ: REG_SZ
Wert:winlog.exe

hi kannst du den gesamten pfad ablesen? Du müsstest dafür auf der linken seite die ordner rückverfolgen. :o

Es geht auch anders, ich weiß nur nicht mehr wie. :o EDIT: Unten in der Statusleiste wird die gesamte Adresse angezeigt, also einfach den Ordner anwählen, zu dem die Suche hingesprungen ist und die adresse bitte abkopieren. :)

Wenn ja bitte hier posten! :)
lg myrtlle

hmm. ich denke es ist im

hkey_Current_User

dann steht das kleine - vor software
-microsoft

und das war es dann nach windows steht vor jedem ordner ein +

das was ich ebend geschrieben habe kannst du vergessen

hier : hkey_Current_USer
Software
data fellows
microsoft
esent
process
winlogon

meintest du das?

Mir ist es dann doch noch eingefallen. ;) Siehe mein Edit. ;)

Ich fürchte aber, dass dürfte dann dieser Eintrag sein:

Zitat:

HKEY_CURRENT_USER\Software\Microsoft\OLE
Winlog = "winlog.exe"

und damit hast du wieder nen Backdoor an Bord. :o :(

ohhhh ich bin dumm jetzt hat es klick gemacht

Arbeitsplatz\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_Current_USER\Software\OLE

Tja, das dürfte dann wirklich der gaobot zu sein. :o

Neuaufsetzen würde ich sagen. :o

Hast du irgendeine Idee, wie du dir so schnell wieder etwas eingefangen hast? Warst du ohne SP2 im Internet? Hast du ausführbare Dateien von deinem alten System übernommen?

lg myrtille

Bist du sicher das das hier dasselbe ist?

HKEY_Current_USER\Software\OLE
winlog="winlog.exe"

und das hier HKEY_Current_USER\Software\OLE

weil bei mir fehlt das winlog="winlog.exe"

könnte es sein das der key noch von der neuaufsetzung übrig blieb ohne den trojaner zu haben oder so etwas?

Nicht wirklich.
Das hier ist sozusagen die Adresse des Schlüssels:

Zitat:

HKEY_Current_USER\Software\OLE

und der Teil soll zeigen welcher Schlüssel es ist und was in ihm steht:

Zitat:

winlog="winlog.exe"

In deinem Schlüssel steht:

Zitat:

Name: winlog
typ: REG_SZ
Wert:winlog.exe

Was im Endeffekt dasselbe bedeutet: der Schlüssel winlog hat den wert winlog.exe, sprich: winlog="winlog.exe"
und damit sind die Schlüssel identisch. :(
lg myrtille

ksnn ich nur das system neu aufsetzen ohne meine dateien zu löschen

Wie hast du denn das letzte Mal neuaufgesetzt? :confused:
Du müsstest doch eigentlich noch ne Sicherung von allem haben nicht? :confused:

Am besten gehst du nach dieser Anleitung vor: Neuaufsetzen

Nichtausführbare Dateien wie Bilder, Musik, Filme kannst du behalten. Installer, .exe, .com-Dateien bitte nicht mit übernehmen. Dort könnte schädlicher Code eingefügt worden sein, um unerkannt laufen zu können.

Am sichersten wäre es natürlich sämtliche Platten zu formatieren, ausreichend dürfte es aber auch sein, wenn du nur die Systempartition (C:) formatierst. Programme etc wirst du dann auch neuinstallieren müssen.

lg myrtille

wenn ich es richtih verstanden habe beim cd booten auf reparieren klicken?

Nein, was du getan hast ist eine "Reparatur". Windows löscht nichts sondern versucht vorhandene Probleme zu beheben.
Damit wird man keinen Befall los.

Du musst erstmal die Platte formatieren und dann Windows neu einspielen. Das wird alles sehr schön im Screenshotguide erklärt, der in der Anleitung zum Neuaufsetzen verlinkt ist. :)
Am besten hältst du dich an die Anleitung, bisher ist damit noch immer alles gutgegangen. :)

lg myrtille

gehen die dateien verloren (musik filme) wenn ich die Platte formatiere

ich hatte vor kurzem einen virus und habe deswegen meinee festplatte formatiert. jetzt möchte ich wissen ob alle viren weg sind

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:31:29, on 15.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ARCORS~2\backweb\5141527\Program\SERVIC~1.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\ArcorSicherheit\Anti-Virus\fsgk32st.exe
C:\Programme\ArcorSicherheit\Anti-Virus\FSGK32.EXE
C:\Programme\ArcorSicherheit\backweb\5141527\program\fsbwsys.exe
C:\Programme\ArcorSicherheit\Anti-Virus\fssm32.exe
C:\Programme\ArcorSicherheit\Common\FSMA32.EXE
C:\Programme\ArcorSicherheit\Common\FSMB32.EXE
C:\Programme\ArcorSicherheit\Common\FCH32.EXE
C:\Programme\ArcorSicherheit\Common\FAMEH32.EXE
C:\Programme\ArcorSicherheit\Anti-Virus\fsqh.exe
C:\Programme\ArcorSicherheit\Anti-Virus\fsrw.exe
C:\Programme\ArcorSicherheit\FSPC\fspc.exe
C:\Programme\ArcorSicherheit\FWES\Program\fsdfwd.exe
C:\Programme\ArcorSicherheit\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Sonic\Sonic Solutions Product CD\Media Experience\DMXLauncher.exe
C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\ArcorSicherheit\Common\FSM32.EXE
C:\Programme\ArcorSicherheit\FSGUI\ispnews.exe
C:\PROGRA~1\ARCORS~2\ANTI-S~1\fsaw.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\ArcorSicherheit\FSGUI\fsguidll.exe
C:\Programme\ArcorSicherheit\backweb\5141527\Program\fspex.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Deniz\Eigene Dateien\setup datei\FLVPlayerSetup.exe
C:\DOKUME~1\Deniz\LOKALE~1\Temp\_ir_sf7_temp_0\irsetup.exe
C:\Dokumente und Einstellungen\Deniz\Eigene Dateien\setup datei\HiJackThis202.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Sonic\Sonic Solutions Product CD\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\ArcorSicherheit\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\ArcorSicherheit\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\ArcorSicherheit\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Programme\ArcorSicherheit\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Arcor Sicherheitspaket.lnk = C:\Programme\ArcorSicherheit\backweb\5141527\Program\fspex.exe
O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
O8 - Extra context menu item: Dieses Popup &blockieren - C:\Programme\ArcorSicherheit\Anti-Spyware\blockpopups.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\ArcorSicherheit\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\ArcorSicherheit\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\ArcorSicherheit\FSPC\fspcmsie.dll
O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\ArcorSicherheit\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\ArcorSicherheit\Anti-Spyware\ieshield.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE57CAFC-B92A-409D-88C3-39C91E1F38C3}: NameServer = 192.168.2.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Arcor Sicherheitspaket (BackWeb Plug-in - 5141527) - F-Secure Corp. - C:\PROGRA~1\ARCORS~2\backweb\5141527\Program\SERVIC~1.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\ArcorSicherheit\Anti-Virus\fsgk32st.exe
O23 - Service: FSBWSYS - F-Secure Corp. - C:\Programme\ArcorSicherheit\backweb\5141527\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\ArcorSicherheit\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Programme\ArcorSicherheit\FSPC\fshttps\fshttps.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\ArcorSicherheit\Common\FSMA32.EXE

--
End of file - 8349 bytes

@ tomasboy

bleibe bitte in diesem beitrag und eröffne keine neuen :rolleyes:

GUA

Antwort bezogen auf den ursprünglich neu eröffneten Thread:

Hallo!

Zitat:

Zitat von tomasboy (Beitrag 280256)

ich hatte vor kurzem einen virus und habe deswegen meinee festplatte formatiert. jetzt möchte ich wissen ob alle viren weg sind

Das kommt ganz darauf an bzw. hängt ganz davon ab, ob Du das gemacht hast, was myrtille Dir hier gesagt hat. Wenn keine ausführbaren Dateien übernommen wurden, ist das System nach einem Formatieren wieder sauber. Ob es auch sauber bleibt, hängt in der Folge dann aber stark vom Nutzerverhalten sowie davon ab, wie der Nutzer das System und die von ihm genutzte Software konfiguriert bzw. aktualisiert: Homepage von Malte J. Wetz