|
das Trojanische Pferd TR/Dldr.Agent.EX! Hallo, ich habe von Antivir eine Warnung für Trojaner bekommen und gleich aufgefordert zu löschen. Später habe ich dann mir diesen Report angesehen: 17.03.2005,17:24:57 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet! 17.03.2005,18:28:26 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.EX! C:\DOKUMENTE UND EINSTELLUNGEN\RAINER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\ZZZ3V05L\LOADER2[1].OCX [FEHLER] Die Datei konnte nicht gelöscht werden! 0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. 17.03.2005,18:29:07 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.EX! C:\DOKUMENTE UND EINSTELLUNGEN\RAINER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\ZZZ3V05L\LOADER2[1].OCX [FEHLER] Die Datei konnte nicht gelöscht werden! 0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. 17.03.2005,20:50:00 [WARNUNG] AVGuard fand in der folgenden Datei ein Problem: C:\DOKUMENTE UND EINSTELLUNGEN\RAINER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\1HPVYUNQ\ZUSAMMENFASSSUNG-MUSIKMEDIEN-03-2005[1].DOC [WARNUNG] Dieses OLE-Dokument ist möglicherweise zerstört! Anschließend nochmal nach Viren suchen lassen und mir wurde wieder ein Trojaner gemeldet, dies konnte ich dann löschen. Bei erneuter Suche wird keiner mehr angezeigt. Wie kann ich sicher gehen, ob alles gelöscht ist? Ist es möglich das da noch was in der registry sitzt? Bitte um Hilfe! RainerG |
Hallo RainerG, poste bitte ein Hijackthis-Logfile und führe bitte dies aus: 1. Downloade Dir escan und befolge diese Anleitung (Scan Im abgesicherten Modus dauert etwa eine Stunde), 2. starte nach dem Scan wieder in den normalen Modus, 3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen" 4. gebe dann "infected" ein, 5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum, 6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten. Beispiel: Wed Feb 02 19:48:56 2005 => Total Files Scanned: Wed Feb 02 19:48:56 2005 => Total Virus(es) Found: . . . . dartus |
Hallo. Auch mich hat dieser Trojaner befallen. AntiVir hat ihn erkannt und entfernt, allersings nachdem bereits jenste dinge installiert worden sind... ich verwende als webbrowser ja eigentlich Mozilla Firefox, hab aber aus neugier/vorahnung nach der atacke mal wieder den Windows Internetexplorer gestartet und wieder (wie schon einmal vor einem halben jahr auf einem anderen PC) die "tolle" mysearch leiste gefunden, die keiner will. zudem erkennt mein LapTop einen tag nach dem angriff das lokale WLan-Netzwerk nicht mehr, obwohl das Grät praktisch neu ist und die Hardware als intakt und aktiv gekennzeichnet wird. Kann das auch mit dem Virus zusammenhängen, oder ist es Zufall, dass Virus und Aussteigen der WLan-karte (was ich vermute) +/- zusammenfielen? hier mal das logfile von Hijack: Logfile of HijackThis v1.99.1 Scan saved at 17:44:25, on 05.04.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir\AVGUARD.EXE C:\Programme\AntiVir\AVWUPSRV.EXE C:\Programme\Cisco Systems\VPN Client\cvpnd.exe c:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\svchost.exe C:\Windows\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\hkcmd.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\Programme\AntiVir\AVSched32.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Messenger\MSN Plus!\MsgPlus.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Logitech\Video\LogiTray.exe C:\Programme\AntiVir\AVGNT.EXE c:\progra~1\intern~1\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Ben\LOKALE~1\Temp\Rar$EX00.125\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.mhriiwjrinlwghdpdzagkqvxb...OvhuOWYv3h.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iptevlqmuhupxuihbfupigzvm...rWAH0cg1nw.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NetAnts.IE.Monitor - {57E91B41-F40A-11D1-B792-444553540000} - C:\Programme\NetAnts\AntAPI.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {C5113B8D-78CA-C5E4-0382-4BBBCD5137DC} - C:\DOKUME~1\Ben\ANWEND~1\MEMOKI~1\five start.exe O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AntiVir\AVSched32.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger\MSN Plus!\MsgPlus.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [NURBREGSBOLTTHE] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IsoIntraNurbRegs\Chic Global.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVir\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger\MSN Plus!\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [forkcity] C:\DOKUME~1\Ben\ANWEND~1\LOCKSD~1\CoalEq.exe O4 - HKCU\..\RunOnce: [Web Offer] C:\Windows\iLookup\ezStub22.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ5\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ5\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: *.musicmatch.com O15 - Trusted Zone: *.musicmatch.com (HKLM) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://E:\components\hidinputmonitorx.ocx O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by17fd.bay17.hotmail.msn.com/...s/MsnPUpld.cab O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://E:\components\A9.ocx O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/23169cfd...dxIE601_de.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVir\AVWUPSRV.EXE O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\Windows\system32\ZoneLabs\vsmon.exe danke für die unterstützung... b.glueck UPDATE 07/04/05 18:06 Durch reinstalation des Treibers für die WLan-karte funktioniert diese wieder einwandfrei... offenbar hat der Virus den Treiber zerschossen. puh. 1 Problem weniger. was bleibt: die mysearchnow leiste im IExplorer. danke, Ben |
Hallo b.glueck, NetAnts arbeitet mit Spyware benutze lieber die werbefreien Leechget oder Getright. Das gleiche der MessengerPlus3, falls Du ihn mit sog. Sponsorprogrammen geladen hast. Den gibt es auch ohne Sponsoren. Wo hat Antivir den Schädling festgestellt (bitte Pfad angeben)? Führe mal Escan aus, wie hier in den Thread beschrieben. dartus |
- habe NetAnts deinstalliert, - messengerplus!3 hat gefragt, ob ich nur die sponsorsoftware deinstallieren will. dies habe ich mit ja beantwortet und ausgefürt. - die Datei eZstub.exe in C:\Windows\ilookup versuchte auf das Internet zuzugreifen. ich hatte die datei früher schon mal gelöscht, weil ich sie mit dem virus in zusammenhang brachte... plötzlich ist sie wieder da. habe den Ordner und einen zweiten mit gleichem Erstellungszeitpunkt gelöscht. - zudem habe ich das Programm iTunes deinstalliert. Ich weiss weder woher es kommt, noch habe ich es je verwendet... während der deinstallation erschienen (wieder) zwei Verknüpfungen auf dem Desktop: Tune up your pc (oder so ähnlich) und Joker... kann leider nicht sagen, wo AntVir den Virus geortet hatte. die Reportdatei wurde weitergeführt und reicht nicht weiter als 3 tage zurück. |
Hallo, nach dem Escan sehen wir weiter. :daumenhoc dartus |
hier nun also die e-scan resultate: Fri Apr 08 01:27:10 2005 => System found infected with BearShare Spyware/Adware ({905d0df2-3a0a-4d94-853c-54a12a745905})! Action taken: No Action Taken. Fri Apr 08 01:27:10 2005 => File System Found infected by "BearShare Spyware/Adware" Virus. Action Taken: No Action Taken. Fri Apr 08 01:27:10 2005 => System found infected with BearShare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: No Action Taken. Fri Apr 08 01:27:10 2005 => File System Found infected by "BearShare Spyware/Adware" Virus. Action Taken: No Action Taken. Fri Apr 08 01:27:10 2005 => System found infected with BearShare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: No Action Taken. Fri Apr 08 01:27:10 2005 => File System Found infected by "BearShare Spyware/Adware" Virus. Action Taken: No Action Taken. Fri Apr 08 01:27:10 2005 => System found infected with BearShare Spyware/Adware ({5f95e1af-2620-4f15-bdf9-7fdce4607e17})! Action taken: No Action Taken. Fri Apr 08 01:27:10 2005 => File System Found infected by "BearShare Spyware/Adware" Virus. Action Taken: No Action Taken. Fri Apr 08 01:27:10 2005 => System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken. Fri Apr 08 01:27:10 2005 => File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken. Fri Apr 08 01:27:10 2005 => System found infected with bearshare Spyware/Adware! Action taken: No Action Taken. Fri Apr 08 01:27:10 2005 => File System Found infected by "bearshare Spyware/Adware" Virus. Action Taken: No Action Taken. Fri Apr 08 01:27:10 2005 => System found infected with bearsharechatnotifymsg Spyware/Adware! Action taken: No Action Taken. Fri Apr 08 01:27:10 2005 => File System Found infected by "bearsharechatnotifymsg Spyware/Adware" Virus. Action Taken: No Action Taken. Fri Apr 08 01:27:50 2005 => File C:\WINDOWS\woinstall.exe infected by "not-a-virus:AdWare.EZula.ak" Virus. Action Taken: No Action Taken. Fri Apr 08 01:30:33 2005 => File C:\DOKUME~1\Ben\LOKALE~1\Temp\fxmbculu.exe infected by "not-a-virus:AdWare.Lop.m" Virus. Action Taken: No Action Taken. Fri Apr 08 01:33:31 2005 => File C:\DOKUME~1\Ben\LOKALE~1\TEMPOR~1\Content.IE5\ED78P432\woinstall[1].exe infected by "not-a-virus:AdWare.EZula.ak" Virus. Action Taken: No Action Taken. Fri Apr 08 01:33:51 2005 => File C:\DOKUME~1\Ben\LOKALE~1\TEMPOR~1\Content.IE5\EZ63Y927\eZinstall[1].exe infected by "not-a-virus:AdWare.EZula.ak" Virus. Action Taken: No Action Taken. Fri Apr 08 01:35:50 2005 => File C:\DOKUME~1\Ben\LOKALE~1\TEMPOR~1\Content.IE5\GLM3C16N\ysb_prompt[1].php infected by "Trojan-Downloader.JS.IstBar.j" Virus. Action Taken: No Action Taken. Fri Apr 08 02:01:48 2005 => File C:\Dokumente und Einstellungen\Ben\Eigene Dateien\Temp\Magiceye.exe infected by "not-a-virus:AdWare.Gator.3103" Virus. Action Taken: No Action Taken. Fri Apr 08 02:02:03 2005 => File C:\Dokumente und Einstellungen\Ben\Eigene Dateien\Temp\WarezP2P.exe infected by "Trojan-Downloader.Win32.Small.apc" Virus. Action Taken: No Action Taken. Fri Apr 08 02:12:36 2005 => Scanning Folder: C:\Programme\AntiVir\INFECTED\*.* Fri Apr 08 02:12:36 2005 => Scanning File C:\Programme\AntiVir\INFECTED\PROMPT[1].HTM.VIR Fri Apr 08 02:12:36 2005 => File C:\Programme\AntiVir\INFECTED\PROMPT[1].HTM.VIR infected by "Trojan-Downloader.JS.IstBar.j" Virus. Action Taken: No Action Taken. Fri Apr 08 02:12:36 2005 => Scanning File C:\Programme\AntiVir\INFECTED\_CACHE_003_.VIR Fri Apr 08 02:12:36 2005 => File C:\Programme\AntiVir\INFECTED\_CACHE_003_.VIR infected by "Trojan-Downloader.JS.Small.af" Virus. Action Taken: No Action Taken. Fri Apr 08 02:13:00 2005 => File C:\Programme\BearShare\Installer\BSINSTALL.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken. Fri Apr 08 02:13:00 2005 => File C:\Programme\BearShare\Installer\saveinstwm.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken. Fri Apr 08 02:13:05 2005 => File C:\Programme\BearShare\Update\BSINSTALL.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken. Fri Apr 08 02:13:05 2005 => File C:\Programme\C2Media\Setup.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken. Fri Apr 08 02:48:07 2005 => File C:\RECYCLER\S-1-5-21-3895061466-2463679597-2222574396-1008\Dc55.exe infected by "Trojan-Downloader.Win32.Small.apc" Virus. Action Taken: No Action Taken. Fri Apr 08 02:48:07 2005 => File C:\RECYCLER\S-1-5-21-3895061466-2463679597-2222574396-1008\Dc56\Setup.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken. Fri Apr 08 02:48:47 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP105\A0021819.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken. Fri Apr 08 02:48:51 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP105\A0021820.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken. Fri Apr 08 02:49:21 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP107\A0022169.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken. Fri Apr 08 02:49:41 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022490.exe infected by "not-a-virus:AdWare.Lop.m" Virus. Action Taken: No Action Taken. Fri Apr 08 02:49:42 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022491.exe infected by "not-a-virus:AdWare.Whenu.a" Virus. Action Taken: No Action Taken. Fri Apr 08 02:49:42 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022497.exe infected by "not-a-virus:AdWare.Lop.m" Virus. Action Taken: No Action Taken. Fri Apr 08 02:49:42 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022498.exe infected by "not-a-virus:AdWare.Lop.m" Virus. Action Taken: No Action Taken. Fri Apr 08 02:49:45 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022536.exe infected by "not-a-virus:AdWare.Lop.m" Virus. Action Taken: No Action Taken. Fri Apr 08 02:49:45 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022537.exe infected by "Trojan-Downloader.Win32.Swizzor.cb" Virus. Action Taken: No Action Taken. Fri Apr 08 02:49:45 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022538.exe infected by "Trojan-Downloader.Win32.Swizzor.ca" Virus. Action Taken: No Action Taken. Fri Apr 08 02:49:45 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022539.exe infected by "not-a-virus:AdWare.Lop.p" Virus. Action Taken: No Action Taken. Fri Apr 08 02:49:47 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022566.exe infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken. Fri Apr 08 02:50:05 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP114\A0022711.exe infected by "not-a-virus:AdWare.Lop.m" Virus. Action Taken: No Action Taken. Fri Apr 08 02:50:06 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP114\A0022712.exe infected by "not-a-virus:AdWare.Lop.p" Virus. Action Taken: No Action Taken. Fri Apr 08 02:50:09 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP114\A0022713.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken. Fri Apr 08 02:50:20 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP114\A0022720.exe infected by "not-a-virus:AdWare.EZula.ak" Virus. Action Taken: No Action Taken. Fri Apr 08 02:50:34 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP114\A0022725.exe infected by "not-a-virus:AdWare.EZula.z" Virus. Action Taken: No Action Taken. Fri Apr 08 02:51:17 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP57\A0016204.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken. Fri Apr 08 02:51:20 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP57\A0016205.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken. Fri Apr 08 02:52:14 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP65\A0017884.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken. Fri Apr 08 02:54:58 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP97\A0020063.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken. Fri Apr 08 02:55:01 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP97\A0020064.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken. Fri Apr 08 02:55:05 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP97\A0020069.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken. Fri Apr 08 03:14:19 2005 => ***** Scanning complete. ***** Fri Apr 08 03:14:19 2005 => Total Objects Scanned: 80287 Fri Apr 08 03:14:19 2005 => Total Virus(es) Found: 49 Fri Apr 08 03:14:19 2005 => Total Disinfected Files: 0 Fri Apr 08 03:14:19 2005 => Total Files Renamed: 0 Fri Apr 08 03:14:19 2005 => Total Deleted Objects: 0 Fri Apr 08 03:14:19 2005 => Total Errors: 80 Fri Apr 08 03:14:19 2005 => Time Elapsed: 01:47:56 Fri Apr 08 03:14:19 2005 => Virus Database Date: 2005/04/06 Fri Apr 08 03:14:19 2005 => Virus Database Count: 124827 Fri Apr 08 03:14:19 2005 => Scan Completed. ;) so. das war's. habe einige eindeutige fälle bereits gelöscht, bin aber jederzeit offen für jedwelche ergänzung... merci. Ben |
Hallo b.glueck, deinstalliere "bearshare". Die "015"-Einträge, falls Du diese nicht kennst, wirst Du so los: http://www.trojaner-board.de/showpos...6&postcount=31 Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken) folgende Einträge: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.mhriiwjrinlwghdpdzagkqvx...aOvhuOWYv3h.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iptevlqmuhupxuihbfupigzv...HrWAH0cg1nw.htm O2 - BHO: (no name) - {C5113B8D-78CA-C5E4-0382-4BBBCD5137DC} - C:\DOKUME~1\Ben\ANWEND~1\MEMOKI~1\five start.exe O4 - HKLM\..\Run: [NURBREGSBOLTTHE] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IsoIntraNurbRegs\Chic Global.exe O4 - HKCU\..\Run: [forkcity] C:\DOKUME~1\Ben\ANWEND~1\LOCKSD~1\CoalEq.exe O4 - HKCU\..\RunOnce: [Web Offer] C:\Windows\iLookup\ezStub22.exe Falls Du das nicht kennst ebenfalls und auch dann die Dateien löschen O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://E:\components\hidinputmonitorx.ocx O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://E:\components\A9.ocx sowie wenn och da ale Netants-Einträge Leere Deine "TEMP"-Ordner (Start/ausführe/cleanmgr eingeben) Antivir-Quarantäne-Ordner leeren Alle infected Dateien manuell löschen, die nicht in Temp-Ordner und hier C:\System Volume Information\_restore sind (am besten wenn noch vorhanden den ganzen Ordner "C:\Programme\BearShare" und "C:\Programme\C2Media), sowie diese Dateien/Ordner (wenn unbekannt): C:\Windows\iLookup C:\DOKUME~1\Ben\ANWEND~1\LOCKSD~1 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IsoIntraNurbRegs C:\DOKUME~1\Ben\ANWEND~1\MEMOKI~1 Papierkorb leeren Neustart-->Systemwiederherstellung aktivieren-->neues HJT-Logfile dartus |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:15 Uhr. |
Copyright ©2000-2025, Trojaner-Board