Trojaner-Board - brauche dringend hilfe!!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - brauche dringend hilfe!! (https://www.trojaner-board.de/8504-brauche-dringend-hilfe.html)

brauche dringend hilfe!!

poste mal mein hijack this log

Logfile of HijackThis v1.98.2
Scan saved at 21:07:41, on 16.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\Norton Anti Virus\navapsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Smokemon\LOKALE~1\Temp\Rar$EX00.469\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton Anti Virus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097936906328
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab

habe dann ein escan durchgeführt, dass folgendes ergab:

File C:\Dokumente und Einstellungen\Smokemon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SLMR4T6V\axload[1].cab infected by "Trojan.Win32.Dialer.ep" Virus. Action Taken: No Action Taken.
File D:\DVD 2 DivX Complete Burning Package\cladDVD v1.70.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\DVD 2 DivX Complete Burning Package\Install first\Fhg Radium MP3 codec v1.263\setupl3c.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Norton Anti Virus\Quarantine\Incoming\AP0.EXE infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File D:\Programminstallationen\AudioGrabber\agsetup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Total Recorder Professional Edition V4.2\Patcher.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken.

WAS MUSS ICH JETZT TUN??????? :heulen:

Lösche deine TIF und leere den NAV Quarantäne Ordner.

verstanden nach längerem nachdenken!! Temporary internet files!!! :affe:

so, beides gemacht, was nun??

habe alles gemacht und nochmal gescannt. die sachen sind jetzt immernoch da

File D:\DVD 2 DivX Complete Burning Package\cladDVD v1.70.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\DVD 2 DivX Complete Burning Package\Install first\Fhg Radium MP3 codec v1.263\setupl3c.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Programminstallationen\AudioGrabber\agsetup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Total Recorder Professional Edition V4.2\Patcher.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken.
:heulen:

@ smokemon

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren ...

Im abgesicherten Modus, bei deaktivierter Systemwiederherstellung:

"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Zitat Cidre)

danach Systemwiederherstellung aktivieren, in den normalen Modus booten.

SD

@ all

Hallo zusammen,

bin über google,SUche auf die Page gekommen und hatte selbes Problem. Hab alle ANweisungen befolgt. Im mwav hab ich keine Funktion bearbeiten gefunden. Hab dann den Ordner wo der Virus war nochmal gescannt und mir das LOG zeigen lassen. Dort gabs bearbeiten --- suchen ---infected eingegeben --- weitersuchen...

Dann kam ich innerhalb des LOGs an einige STellen wo "infected" innerhalb des WOrtes disinfected markiert war. Da war ich wohl auf dem Holzweg.

Ich hab dann einfach die Dateien, in welchen der Scan die Viren festgestellt hatte gelöscht (bis dahin hatte ich brav alle Anweisungen befolgt, Danke für die Infos).

ALs ich die Dateien gelöscht hatte stellte ich fest daß nun in der BEschreibung ein kleiner Fehler unterlafen sein muss. Man kann im abgesicherten Modus die Systemwiederhersetllung nicht wieder aktivieren, sondern muss neu booten, und dann die Systemwiederherstellung wieder aktivieren.

Bei mir hatte der Trojaner (oder Virus,Wurm ???) die Auswirkung, daß ich sobald ich online gegangen bin, zuerstmal 3 Minuten gar nichts ieng. Wenn ich den Browser (Firefox) gestartet hatte nochmal paar Warteminuten. SOnst lief alles relativ normal. War das die Verzögerungszeit in der der SPion sich eingeloggt hat ???

AUf jeden Fall hab ich dann nach der Aktivierung der Systemwiederherstellung nochmals gebootet --- und seitdem läuft alles normal !!!

DANKE für die Infos. Weiter so ! Super Board ! :party: :)