|
Kann mir bitte jemand helfen ? Habe AntiVir über meinen PC laufen lassen. Er zeigte mir an Warnungen 7 Gefunden 2. Letzter Fund: TR/Hijack.MulltiPP. Infizierte Datein in Archiven können von ihm aber nicht gelöscht oder repariert werden. Hier ist die Auswertung von dem Logfile: Logfile of HijackThis v1.98.2 Scan saved at 21:39:40, on 28.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ahead\InCD\InCD.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe D:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\rundll32.exe D:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\awdfmsxu.exe C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe D:\Programme\AVPersonal\AVGUARD.EXE D:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe D:\Programme\Opera7\Opera.exe D:\Gabi\Viren usw\HijackThis.exe O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [eZWO] C:\PROGRA~1\Web Offer\wo.exe O4 - HKCU\..\Run: [zersepvi] C:\WINDOWS\system32\aatqaur.exe k:zersepvi: O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\system32\awdfmsxu.exe O4 - HKCU\..\Run: [XPCLEAN] D:\Programme\XPcleanv5\xpclean.exe /s O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HomeNet Control.lnk = ? O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096908058593 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{25C360E1-99BD-4026-9A34-0FF1D6D885B8}: NameServer = 217.237.151.97 217.237.150.33 Habe auch eine automatische Auswertung dieses Logfiles machen lassen. Das sieht ja gar nicht so gut aus. Bin leider kein PC-Profi. Habe versucht diese Dateien oder wie man sie auch immer nennt zu fixen, funktioniert aber nicht. Diese bleiben drinnen. Habe auch Spybot Search Destroy 1.3 rüberlaufen lassen, dieser zeigt mir aber auch nichts an. Viele Grüße Gabi |
|
Hi Gabme , im abgesicherten Modus eScan durchführen,allerdings vorher Systemwiederherstellung deaktivieren. |
Hi Chucky, seit ich den Newdot beseitigt habe, komme ich nicht mehr ins Internet. Sitze gerade an einem PC einer Freundin. Hat das ganze etwas mit dem beseitigen des Newdot zu tun? Ich werde noch wahnsinnig. Opera sagt mir Hauptidentität (Pop.t-online.de). Der Pop 3 Server ist nicht erreichbar. Liegt eventuelle in Netzwerkproblem vor? T-Online zeigt mir zwar die Verbindung an, aber irgendwie kommt keine Verbindung mit dem Opera zustande. Kann es leider nicht anders ausdrücken? Im abgesicherten Modus eScan durchführen. Wie macht man das? Wie oben schon gesagt, so eine große PC-Leuchte bin ich nun auch wieder nicht. Was muß ich denn machen, damit ich wieder ins Internet komme. Bin seit Freitag Abend schon ganz krank. Viele Grüße Gabi |
LSP reparieren: http://www.cexx.org/lspfix.htm |
Ich kann doch kein englisch. Kann ich da etwas verkehrt machen? |
Eigentlich nicht, das was rechts steht unter remove solltest du entfernen, dann müsste der Zugang wieder gehen. Erstelle dann bitte ein neues Logfile. |
Ich könnt die ganze Welt umarmen. Ich komme wieder ins Internet. Vielen, vielen Dank für den Tip. Ich könnt die Welt umarmen. Aber was mache ich jetzt mit den anderen Sachen. Hilft mir da auch noch jemand? Grüße Gabi |
Hier ist das neue Logfile: Logfile of HijackThis v1.98.2 Scan saved at 18:34:34, on 30.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Program Files\ahead\InCD\InCD.exe C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe D:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\Web Offer\wo.exe C:\WINDOWS\system32\awdfmsxu.exe C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe D:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\explorer.exe D:\Gabi\Viren usw\HijackThis.exe O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [eZWO] C:\PROGRA~1\Web Offer\wo.exe O4 - HKCU\..\Run: [zersepvi] C:\WINDOWS\system32\aatqaur.exe k:zersepvi: O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\system32\awdfmsxu.exe O4 - HKCU\..\Run: [XPCLEAN] D:\Programme\XPcleanv5\xpclean.exe /s O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HomeNet Control.lnk = ? O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096908058593 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/S.../bin/cabsa.cab |
Schau mal zunächst, ob du Weboffer deinstallieren kannst. E-Scan herunterladen und updaten: http://www.trojaner-board.de/42731-escan-anleitung.html Systemwiederherstellung deaktivieren, in den abgesicherten Modus booten: http://www.bsi.bund.de/av/texte/wiederher_xp.htm Schicke: C:\WINDOWS\system32\awdfmsxu.exe bitte mit einem Link zu diesem Thread an: partytime-germany.ice@web.de Checke die Datei danach hier: http://virusscan.jotti.org/de Mit Hijackthis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken): O4 - HKCU\..\Run: [eZWO] C:\PROGRA~1\Web Offer\wo.exe O4 - HKCU\..\Run: [zersepvi] C:\WINDOWS\system32\aatqaur.exe k:zersepvi: O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\system32\awdfmsxu.exe Lösche die in den Einträgen genannten Dateien, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge. |
Werde das ganze gleich mal ausprobieren. Sobald ich es habe, melde ich mich wieder. |
Weboffer habe ich deinstalliert. Mit HijackThis habe ich nur das letzte fixen können, die ersten beiden habe ich nicht (oder nicht mehr gefunden). Den E-Scan habe ich mir auch runtergeladen und im abgesicherten Modus rüberlaufen lassen. Sorry ich weiss aber nicht, wie man die gefunden Dateien kopieren kann. Und das mwav.log ist ja so lange, da sieht man welche Dateien er alles durchsucht hat. Das kann es ja nicht sein was ich einstellen soll. Kannst du mir bitte sagen, wie man das macht. Die Datei C.\windows\system32\awdfmsxu.exe habe ich die angegebene Mailadresse gesandt, mit dem Link zu diesem Tread. Anschließend habe ich auch unter virusscan.jotto.dhs.org die Datei prüfen lassen. Wie ich schon gesagt hae, ich kann nur sehr wenig Englisch. Bis auf NOD 32 und Norman virus control sagten alle anderen no viruses found. Bei NOD 32steht probably unknown NewHeur_PE (probable variant) (3,12 seconds taken). Und bei Norman virus controll steht so viel. Ich weiss ja nicht was das zu bedeuten hat. Hier noch mal das neue Logfile Logfile of HijackThis v1.98.2 Scan saved at 21:50:54, on 30.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ahead\InCD\InCD.exe C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe D:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe D:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\wscntfy.exe D:\Programme\Opera7\Opera.exe D:\Gabi\Viren usw\HijackThis.exe O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [XPCLEAN] D:\Programme\XPcleanv5\xpclean.exe /s O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HomeNet Control.lnk = ? O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096908058593 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{25C360E1-99BD-4026-9A34-0FF1D6D885B8}: NameServer = 217.237.151.97 217.237.150.33 Ich kann das ganze leider nicht anders erklären. Sorry |
SO, jetzt weiss ich wie man kopiert: Das steht bei Norman virus controll: Sandbox: W32/Malware; [ General information ] * File length: 46305 bytes. [ Changes to filesystem ] * Creates file C:\WINDOWS\SYSTEM\caac.exe. * Deletes file c:\sample.exe. [ Changes to registry ] * Creates value "JavaUpdate0.07"="C:\WINDOWS\SYSTEM\caac.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run". * Deletes value "Tsa" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run". [ Network services ] * Looks for an Internet connection. * Connects to "218.65.86.24" on port 80 (TCP). [ Security issues ] * Possible backdoor functionality [UNKNOWN] port 24678. [ Process/window information ] * Enumerates running processes. * Enumerates running processes several parses.... * Will automatically restart after boot (I'll be back...). * Attemps to Open C:\COMMAND.COM NULL. (16.63 seconds taken) |
Kann mir bitte jemand sagen, wie ich die Informationen von eScan angezeigten Schädlinge kopieren kann, damit ich diese hier einstellen kann. Schon mal Danke im voraus |
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben |
Danke *Christian* Dieses kam dann dabei raus: Sun Oct 31 13:07:03 2004 => File C:\Dokumente und Einstellungen\Tabea\Lokale Einstellungen\Temp\GLF4C2GLF4C2.EXE infected by "TrojanDownloader.Win32.TSUpdate.e" Virus. Action Taken: No Action Taken. Sun Oct 31 13:08:37 2004 => File C:\Dokumente und Einstellungen\Tabea\Lokale Einstellungen\Temp\tsinstall_4_0_3_3_C9.exe infected by "TrojanDownloader.Win32.TSUpdate.e" Virus. Action Taken: No Action Taken. Sun Oct 31 13:08:40 2004 => File C:\Dokumente und Einstellungen\Tabea\Lokale Einstellungen\Temp\VT09.exe infected by "TrojanDownloader.Win32.Lookme.e" Virus. Action Taken: No Action Taken. Sun Oct 31 13:38:44 2004 => Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.* |
Hi Tabea :), lösche deine temporären Internetdateien per Systemsteuerung/Internetoptionen/Allgemein/temporäre Dateien löschen oder mit www.clearprog.de Ansonsten siehts eigentlich ganz gut aus, du solltest aber eventuell auf einen Alternativbrowser wie opera oder firefox umsteigen und dir für die Zukunft die beschriebenen Dinge zu Herzen nehmen: http://www.mathematik.uni-marburg.de...ompromise.html |
Hy Montain King, danke für deine Antwort. Clearprog. habe ich mir runtergeladen und auch gleich die temporären Internetdateien gelöscht. Den IE benutze ich schon lange nicht mehr, sondern OPERA. Was mir eScan unter infected gezeigt hat, muss man da nichts machen? Bleibt dies alles auf meinem PC oder sind das keine Schädlinge? Soll ich den EScan dann wieder runterschmeissen oder kann ich den oben lassen? So nun hoffe ich doch zu meiner letzten Frage: Was ist mit der Datei C:\WINDOWS\system32\awdfmsxu.exe . Diese habe ich ja noch immer auf meinem PC. Habe diese Datei ja an Partytime gesandt und gerade eben diese Antwort erhalten: Hallo! In der von dir eingesandten Datei wurde ein neuer Backdoor gefunden. Ich habe die Datei allen Virenschutzherstellern geschickt, damit diese den Schädling zukünftig erkennen. Solltest du mal wieder infizierte/verdächtige Dateien haben, so kannst du mir diese gerne schicken. Gruß, Christian Was mache ich nun mit dieser Datei? Kann ich die einfach löschen? Viele Grüße Gabi (Tabea ist meine kleine Tochter) |
Oh sorry Gabi :) Wenn du mit clearprog die temporären Dateien gelöscht hast, sind die von E-Scan gefundenen Schädlinge weg, das war ja der Sinn der Sache, denn sie befanden sich im ordner für temporäre Dateien. :) Wenn du also noch mal sannst, sollten sie nicht mehr gefunden werden. Du kannst E-Scan ruhig als Zweitscanner weiterverwenden, da es keinen Hintergrundwächter hat, kommt es sich auch mit Norton nicht in die Quere. Du solltest die Datei in der Tat löschen und danach ein neues Logfile mit Hijackthis erstellen und posten. Vielleicht meldet sich Christian noch und sagt genauer, was für ein Schädling es war...bei Backdoors empfiehlt sich ja EIGENTLICH eine Neuinstallation. Mal schauen. |
Hier die neue Auswertung: Logfile of HijackThis v1.98.2 Scan saved at 15:49:52, on 31.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ahead\InCD\InCD.exe C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe D:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe D:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\IncrediMail\bin\IncMail.exe D:\Programme\Opera7\Opera.exe D:\Gabi\Viren usw\Hijack This\HijackThis.exe O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVSCHED32] D:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [XPCLEAN] D:\Programme\XPcleanv5\xpclean.exe /s O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HomeNet Control.lnk = ? O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096908058593 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{25C360E1-99BD-4026-9A34-0FF1D6D885B8}: NameServer = 217.237.151.97 217.237.150.33 Das komische darin ist, daß mir Hijack diese Datei nicht mehr anzeigt, aber diese tatsächlich noch auf meinem PC ist. Habe diese noch nicht runtergelöscht. Ich finde das sehr merkwürdig. |
Ich hatte dir ja gesagt, dass du den Eintrag mit dieser Datei "fixen" solltest, falls du das gemacht hast, ist das schon in Ordnung so. Der Prozess wird dadurch nicht mehr gestartet und taucht in HJT deswegen nicht mehr auf, die Datei an sich ist aber noch vorhanden. Daher: löschen. :) |
Oh sorry, zuerst nachdenken dann posten. Klar, habe ich ja schon gestern gemacht. Werde diese gleich runterlöschen und den e-Scan noch mal rüberlaufen lassen. Grüße Gabi |
So, ich bins schon wieder. Habe e-Scan noch mal rüberlaufen lassen. Es kommt jetzt nur noch: Sun Oct 31 17:06:14 2004 => Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.* Zum eScan habe ich aber schon wieder mal eine Frage. Er zeigt mir auch an, das ich : Sun Oct 31 17:13:22 2004 => Total Errors: 349 auf dem PC habe. Muss ich diese Dateien löschen? Dann habe ich nochmals ANtiVir rüberlaufen lassen. Entweder das war am Freitag schon auf meinen PC und ich habe es übersehen oder es ist was neues: Er hat mir 6 Warnungen ausgegeben. Und diese sind sie: C:\ pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\system32\config default Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! :confused: :confused: :confused: :confused: :confused: Heißt das etwas böses? Viele Grüße Gabi |
Nein, das ist nicht schlimm, bestimmte Dateien/Ordner sind von Windows zugriffsgeschützt, was zwar theoretisch auch Schädlinge ausnutzen können, deswegen wird das auch immer mit in den Logs aufgeführt. Das Sun Oct 31 17:06:14 2004 => Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.* kommt nur, weil dein Suchbegriff "infected" darin vorkommt, ist aber in dem Fall nur die Aufzählung der gescannten Ordner bzw. des Ordners von Antivir. Die Erros-Dateien bei E-Scan NICHT löschen! Das kann dieselben Gründe haben wie oben schon angeführt, 349 kommt mir allerdings etwas viel vor, gibt es da eine bestimmte Art von Dateien, die besonders viel vorkommt? Oder ein bestimmter Ordner? |
Hallo MountainKing, erst mal vielen, vielen Dank für deine unendliche Mühe. Ich kann dir gar nicht sagen, wie dankbar ich dir dafür bin. Die Errors Dateien sind alle hier drinnen: Sun Oct 31 16:54:12 2004 => Scanning Folder: C:\WINDOWS\PCHealth\HelpCtr\System\errors\*.* Sun Oct 31 16:54:12 2004 => Scanning File C:\WINDOWS\PCHealth\HelpCtr\System\errors\badurl.htm Sun Oct 31 16:54:12 2004 => Scanning File C:\WINDOWS\PCHealth\HelpCtr\System\errors\connection.htm Sun Oct 31 16:54:12 2004 => Scanning File C:\WINDOWS\PCHealth\HelpCtr\System\errors\indexfirstlevel.htm Sun Oct 31 16:54:12 2004 => Scanning File C:\WINDOWS\PCHealth\HelpCtr\System\errors\notfound.htm Sun Oct 31 16:54:12 2004 => Scanning File C:\WINDOWS\PCHealth\HelpCtr\System\errors\offline.htm Sun Oct 31 16:54:12 2004 => Scanning File C:\WINDOWS\PCHealth\HelpCtr\System\errors\redirect.htm Sun Oct 31 16:54:12 2004 => Scanning File C:\WINDOWS\PCHealth\HelpCtr\System\errors\unreachable.htm So für heute schalte ich unseren PC ab, der hat mich vielleicht die letzten paar Tage Nerven gekostet. Einen schönen Abend noch viele Grüße Gabi |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:57 Uhr. |
Copyright ©2000-2025, Trojaner-Board