Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Was ist wenn... (https://www.trojaner-board.de/15584-a.html)

Laure 19.03.2005 17:13
Mist!
 
Hola!

Ich habe jetzt zwei Trojaner durch Deaktivieren der Systemwiederherstellung unschädlichgemacht. Der Virenscan war postiv, nichts mehr da. :party:

Aber was ist, wenn ich die Systemherstellung wieder aktiviere? Sind sie dann wieder da? :teufel1:

Und ich habe soeben ein Problem festgestellt:
Das Antivirenprogramm erkennt sie zwar nicht mehr, nach jedem Neustart erkennt aber das Programm "Ad-Aware SE" sowohl eine RegData und eine "MRU List", die infiziert sein sollen.

Braucht ihr den Log? Wollte ihn einfügen, aber das hochladen dauert so lange und die Seite stürzt ab.

Laure

Haui45 19.03.2005 17:31
Zitat:
Zitat von Laure
Aber was ist, wenn ich die Systemherstellung wieder aktiviere? Sind sie dann wieder da?
Nein, siehe auch http://service1.symantec.com/SUPPORT...30807105707924
Zitat:
Durch das Deaktivieren der Systemwiederherstellung werden alle vorherigen Wiederherstellungspunkte gelöscht. Sie müssen neue Wiederherstellungspunkte erstellen, wenn Sie die Systemwiederherstellung wieder aktivieren.
btw: ob du die Schädlinge wirklich restlos entfernen konntest, weiß ich nicht ;)

cronos 19.03.2005 17:32
Wenn du die Systemwiederherstellung deaktivierst, werden alle Wiederherstellungspunkte gelöscht.Es ist also kein Wiederherstellungspunkt mehr dxa.Also kommt auch nichts wieder , wenn du sie wieder anstellst.
Aber warum willst du die Wiederherstellung deaktiviert lassen? An sich ist das eine vernünftige Anwendung.

Gigamail 19.03.2005 17:32
Zitat:
Aber was ist, wenn ich die Systemherstellung wieder aktiviere? Sind sie dann wieder da?
Wie waren die Namen und in welchem Pfad wurden sie gefunden?
Wenn Du die Systemwiederherstellung deaktiviert hast und danach neu gebootet
hast und die Schädlinge in C:\SystemVolumeInformation\Restore waren, dann sind sie weg, denn dort werden die Systempunkte von Windows verwaltet. Du solltest aber die Systemwiederherstellung wieder aktivieren.

Laure 19.03.2005 17:35
Und ich habe soeben ein Problem festgestellt:
Das Antivirenprogramm erkennt sie zwar nicht mehr, nach jedem Neustart erkennt aber das Programm "Ad-Aware SE" sowohl eine RegData und eine "MRU List", die infiziert sein sollen.

Braucht ihr den Log? Wollte ihn einfügen, aber das hochladen dauert so lange und die Seite stürzt ab.

Laure :nixda:

Haui45 19.03.2005 17:37
Du kannst mal ein HijackThis Logfile posten:
Direktdownload
kurze Beschreibung
ausführliche Beschreibung


Die MRU Liste von Ad-Aware ist nichts "böses" ;)

"Reg-Data" ist ein bisschen ungenau...

Laure 19.03.2005 18:34
Logfile of HijackThis v1.99.1
Scan saved at 18:30:16, on 19.03.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\MSMSGS.EXE
C:\PROGRAMME\T-ONLINE\ISDN SPEEDMANAGER\TOMCAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\HAMPANEL.EXE
C:\WINDOWS\DITASK.EXE
C:\PROGRAM FILES\DEUTSCHE TELEKOM\MANAGEMENT SYSTEM\WATCH.EXE
C:\PROGRAM FILES\DEUTSCHE TELEKOM\MANAGEMENT SYSTEM\CGSERVER.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\WINDOWS\SYSTEM\GAH95ON6.EXE
C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\DIINFO.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
D:\COMPUSERVE 3.0\COMPUSERVE STARTERKIT 3.0\CSODIALER.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\HIJACKTHIS_199\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: ohb - {988CAFC4-DC0D-4D8C-A35E-5028ABE9E641} - C:\WINDOWS\SYSTEM\IC2_WIN.DLL
O2 - BHO: ohb - {22B720C7-5FA6-40A8-9F8F-8584BF669690} - C:\WINDOWS\SYSTEM\TRGEN.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Begin2Search.com Bar - {207AEF46-0596-4966-A7BF-098F247E85BB} - C:\WINDOWS\SYSTEM\IC2_WIN.DLL
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRAMME\T-ONLINE\ISDN SPEEDMANAGER\TOMCAT.EXE"
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [HaMFrontPanel] C:\WINDOWS\hampanel /B:Software\Ambient\HaM
O4 - HKLM\..\Run: [DiTask] C:\WINDOWS\ditask.exe
O4 - HKLM\..\Run: [EICONCARD_DAEMON] C:\Program Files\Deutsche Telekom\Management System\WATCH.EXE
O4 - HKLM\..\Run: [CGUARD] C:\Program Files\Deutsche Telekom\Management System\CGSERVER.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\SYSTEM\gah95on6.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\SYSTEM\msmsgs.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab

cronos 19.03.2005 18:38
Leider hat du den auf deinem Sytem.
Erkennbar an folgendem Eintrag:

O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\SYSTEM\msmsgs.exe

Da hilft leider nur Neuinstallation am besten nach folgender Anleitung:

http://www.trojaner-info.de/report_i...nleitung.shtml

dartus 19.03.2005 18:40
Hallo,

lass bitte einmal diese Datei:

C:\WINDOWS\SYSTEM\msmsgs.exe

hier online scannen:

http://www.systemwiederherstellung-d...indows-xp.html

Teile bitte das Ergebnis mit.

dartus

cronos 19.03.2005 18:44
@ dartus

Muss nicht gescannt werden.Ist definitiv der von mir beschriebene Schädling:
Warum?
Deswegen

Gigamail 19.03.2005 18:44
ein HJT ist halt doch immer wieder gut, Du hast den hier im System

Zitat:
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\SYSTEM\msmsgs.exe
meine Empfehlung setze dein System neu auf, hier die Hilfe dazu

Haui45 19.03.2005 18:45
Ich halte dagegen, scanne die Datei bitte online.
btw: Es ist sicher Malware, aber ich glaube nicht, dass es ein Bot ist :)

cronos 19.03.2005 18:49
Das glaub ich aber für dich mit.
Zitat:
W32/Forbot-BD is a network worm with backdoor Trojan functionality.

W32/Forbot-BD spreads through network shares and by exploiting the LSASS (MS04-011) software vulnerability. The Trojan may also spread through backdoors left open by other malware.

When first run, W32/Forbot-BD copies itself to the Windows System folder as MSMSGS.EXE. In order to run automatically each time Windows is started, W32/Forbot-BD sets the following registry entries:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Messenger = msmsgs.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Windows Messenger = msmsgs.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Windows Messenger = msmsgs.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Messenger = msmsgs.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Windows Messenger = msmsgs.exe

W32/Forbot-BD creates a service named "Windows Messenger" with
the display name "Windows Messenger".

The worm runs continuously in the background providing backdoor access to the infected computer through IRC channels.
Zitat: http://www.sophos.com/virusinfo/anal...2forbotbd.html

dartus 19.03.2005 18:50
Hallo,

ich wette das kommt dabei raus:

AntiVir Keine Viren gefunden (0.40 Sekunden)
Avast Keine Viren gefunden (1.51 Sekunden)
AVG Antivirus Keine Viren gefunden (1.01 Sekunden)
BitDefender Keine Viren gefunden (0.53 Sekunden)
ClamAV Keine Viren gefunden (0.62 Sekunden)
Dr.Web Trojan.DownLoader.1916 (0.91 Sekunden)
F-Prot Antivirus Keine Viren gefunden (0.11 Sekunden)
Fortinet Keine Viren gefunden (0.46 Sekunden)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Zlob.g (1.00 Sekunden)
mks_vir Trojan.Downloader.Zlob.G (0.22 Sekunden)
NOD32 Keine Viren gefunden (0.49 Sekunden)
Norman Virus Control Keine Viren gefunden (0.82 Sekunden)

Laure,

bitte scan diese Datei.

@cronos,

der Registry-Eintrag ist hierbei aber MSN Messenger und nicht Windows Messenger. ;)

dartus

Haui45 19.03.2005 18:50
Wir werden's ja sehen ;)
btw: den Link hab ich schon gelesen, keine Angst.

cronos 19.03.2005 18:52
Und ich muss jetzt weg , verdammt.
Gerade wos spannend wird.

Laure 19.03.2005 18:54
Wie scanne ich denn online? ich hab die datei mal einzeln gescannt, da hat er nichts gefunden.

Haui45 19.03.2005 18:55
War es die richtige Datei (C:\WINDOWS\SYSTEM\msmsgs.exe)?

Hast du alles so ausgeführt?
Auf der Seite http://Virusscan.jotti.org/de/ auf "Durchsuchen" klicken-> zur genannten Datei navigieren und diese markieren-> auf "öffnen" klicken-> auf "Abschicken" klicken-> etwas warten->das Ergebnis markieren und hier rein kopieren:
sieht etwa so aus:
Zitat:
File: File.exe
Status: OK
Packers detected: None

AntiVir No viruses found (0.36 seconds taken)
Avast No viruses found (1.53 seconds taken)
AVG Antivirus No viruses found (0.77 seconds taken)
BitDefender No viruses found (0.48 seconds taken)
ClamAV No viruses found (0.57 seconds taken)
Dr.Web No viruses found (0.82 seconds taken)
F-Prot Antivirus No viruses found (0.09 seconds taken)
Fortinet No viruses found (0.42 seconds taken)
Kaspersky Anti-Virus No viruses found (0.99 seconds taken)
mks_vir No viruses found (0.24 seconds taken)
NOD32 No viruses found (0.49 seconds taken)
Norman Virus Control No viruses found (1.20 seconds taken)

Laure 19.03.2005 19:05
Auslastung: 0% 100%

Datei: msmsgs.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: FSG

AntiVir Keine Viren gefunden (0.92 Sekunden)
Avast Keine Viren gefunden (1.53 Sekunden)
AVG Antivirus Keine Viren gefunden (1.02 Sekunden)
BitDefender Keine Viren gefunden (0.54 Sekunden)
ClamAV Keine Viren gefunden (0.63 Sekunden)
Dr.Web Trojan.DownLoader.1916 (0.91 Sekunden)
F-Prot Antivirus Keine Viren gefunden (0.12 Sekunden)
Fortinet Keine Viren gefunden (0.46 Sekunden)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Zlob.g (1.01 Sekunden)
mks_vir Trojan.Downloader.Zlob.G (0.22 Sekunden)
NOD32 Keine Viren gefunden (0.50 Sekunden)
Norman Virus Control Keine Viren gefunden (0.83 Sekunden)

und jetzt? :(

Haui45 19.03.2005 19:27
Da die Datei leider nicht von allen Scannern erkannt wurde, wäre es nett, wenn du sie bei www.malwareupload.com hochladen würdest.

Zu deinen Problemen:

eScan runterladen und updaten (noch nicht scannen). Anleitung vorher komplett lesen, am besten ausdrucken.
Spybot Search&Destroy runterladen und updaten.

Falls möglich, unseriöse Software über Systemsteuerung-> Software deinstallieren.

********************

Boote in den abgesicherten Modus und fixe mit Hijackthis (mit HjT scannen, Haken setzen und "fix checked" anklicken)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

O2 - BHO: ohb - {988CAFC4-DC0D-4D8C-A35E-5028ABE9E641} - C:\WINDOWS\SYSTEM\IC2_WIN.DLL
O2 - BHO: ohb - {22B720C7-5FA6-40A8-9F8F-8584BF669690} - C:\WINDOWS\SYSTEM\TRGEN.DLL

O3 - Toolbar: Begin2Search.com Bar - {207AEF46-0596-4966-A7BF-098F247E85BB} - C:\WINDOWS\SYSTEM\IC2_WIN.DLL

O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\SYSTEM\gah95on6.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\SYSTEM\msmsgs.exe

O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab


lösche manuell:
c:\ied_s7.cab (imho ein Dialer)
C:\WINDOWS\SYSTEM\gah95on6.exe
C:\WINDOWS\SYSTEM\msmsgs.exe
C:\WINDOWS\SYSTEM\IC2_WIN.DLL
C:\WINDOWS\SYSTEM\TRGEN.DLL
C:\WINDOWS\TEMP\sp.dll
Temp und Temporary Internet Files, z.B. mit www.clearprog.de

Scanne mit Ad-Aware und Spybot S&D und lass sie die gefundenen Probleme beheben. Führe einen Scan mit eScan durch und lösche die gefundenen Dateien manuell (Vorsicht bei Dateien, die als "not-a-virus" erkannt werden).
Dialer bitte je nach Verbindungsart auf Diskette speichern -> Dialer-Hinweis

********************

Neustart.

Windows-Update durchführen. IE updaten!

Alternativen Browser wählen!

Neues HijackThis-Logfile posten.


btw: Ich hoffe ich hab nichts übersehen, WinME ist nich so mein Ding ;)

Laure 19.03.2005 19:38
Okay,probiere es.

Laure 19.03.2005 20:18
Das Problem ist, dass ich folgende Dateien nicht finde:

C:\WINDOWS\SYSTEM\IC2_WIN.DLL
C:\WINDOWS\SYSTEM\TRGEN.DLL
C:\WINDOWS\TEMP\sp.dll

Ausserdem kann ich die infizierte Datei mit Escan nicht löschen,weil ich dazu die gesamtversion brauche, die 9$ kostet.

Was mache ich jetzt?

Haui45 19.03.2005 20:24
Werden alle Dateien angezeigt? Ich weiß nicht genau, wie es bei WinME ausschaut, aber wahrscheinlich so ähnlich:
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren


Zitat:
Ausserdem kann ich die infizierte Datei mit Escan nicht löschen,weil ich dazu die gesamtversion brauche, die 9$ kostet.
Ich glaube, die kostet sogar noch mehr ;)
Deshalb sollst du die Dateien "von Hand" löschen (markieren->löschen->bestätigen ;) )


Bitte im abgesicherten Modus löschen!

cronos 20.03.2005 03:21
@Laure

Teile uns oder vielmehr mir das Ergebnis des Scans von Malwareupload.com mit.

Gruss Cronos

Laure 20.03.2005 11:00
@Haui45:Ich hab es so gemacht und alle Dateien anzeigen lassen. Ich habe sie dennoch nicht gefunden.Sicher dass es die richtigen waren?
Und beim scna im abgesciherte modus findet er ne date, aberda sagt er "not-a-virus" soll ich die dann löschen oder lieber nicht?

@cronos:Welche datei soll ich denn scannen? die msmsgs.exe habe ich ja löschen sollen. es gibt aber noch andere msmsgs.exe,aber haltim messenger oder unter \resent

Haui45 20.03.2005 12:43
malwareupload.com wird auch zu keinem anderen Ergebnis kommen ;)

@Laure
poste mal die Funde von eScan und ein neues HijackThis-Logfile.
Dass einige Dateien nicht da sind, kann durchaus sein.

Laure 20.03.2005 13:11
Logfile of HijackThis v1.99.1
Scan saved at 13:00:03, on 20.03.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\T-ONLINE\ISDN SPEEDMANAGER\TOMCAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\HAMPANEL.EXE
C:\WINDOWS\DITASK.EXE
C:\PROGRAM FILES\DEUTSCHE TELEKOM\MANAGEMENT SYSTEM\WATCH.EXE
C:\PROGRAM FILES\DEUTSCHE TELEKOM\MANAGEMENT SYSTEM\CGSERVER.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\DIINFO.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
D:\COMPUSERVE 3.0\COMPUSERVE STARTERKIT 3.0\CSODIALER.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\HIJACKTHIS_199\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRAMME\T-ONLINE\ISDN SPEEDMANAGER\TOMCAT.EXE"
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [HaMFrontPanel] C:\WINDOWS\hampanel /B:Software\Ambient\HaM
O4 - HKLM\..\Run: [DiTask] C:\WINDOWS\ditask.exe
O4 - HKLM\..\Run: [EICONCARD_DAEMON] C:\Program Files\Deutsche Telekom\Management System\WATCH.EXE
O4 - HKLM\..\Run: [CGUARD] C:\Program Files\Deutsche Telekom\Management System\CGSERVER.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\Run: [mwavscan] "C:\WINDOWS\TEMP\MWAVSCAN.COM" /s
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\RunServices: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\RunServices: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe


EScan:
Sun Mar 20 13:05:58 2005 => File C:\WINDOWS\SYSTEM\2b3fsk0h.dll infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken.

Haui45 20.03.2005 13:12
Poste mal folgendes aus der c:\bases\mwav.log (steht ganz am Ende):
Zitat:
Total Number of Files Scanned:
Total Number of Virus(es) Found:
Total Number of Disinfected Files:
Total Number of Files Renamed:
Total Number of Deleted Files:
Total Number of Errors:
Time Elapsed:

edit:
Zitat:
O4 - HKLM\..\Run: [mwavscan] "C:\WINDOWS\TEMP\MWAVSCAN.COM" /s
Du hast dich nicht an die Anleitung gehalten! eScan muss in das Verzeichnis c:\bases entpackt werden! Die Anleitung bitte nochmals durcharbeiten und eScan erneut ausführen. Updaten nicht vergessen.


Zitat:
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)
Du musst dich schon an die Anweisungen halten. Dein IE ist immer noch veraltet...

Laure 20.03.2005 15:19
Okay, das hatte ich nicht gelesen.

Laure 20.03.2005 17:02
Kann ich die löschen????

File C:\WINDOWS\SYSTEM\2b3fsk0h.dll infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\bln02nqv.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\70tovmto.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken.

Der neue Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:58:35, on 20.03.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\T-ONLINE\ISDN SPEEDMANAGER\TOMCAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\HAMPANEL.EXE
C:\WINDOWS\DITASK.EXE
C:\PROGRAM FILES\DEUTSCHE TELEKOM\MANAGEMENT SYSTEM\WATCH.EXE
C:\PROGRAM FILES\DEUTSCHE TELEKOM\MANAGEMENT SYSTEM\CGSERVER.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGCC.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGEMC.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\WINDOWS\DIINFO.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
D:\COMPUSERVE 3.0\COMPUSERVE STARTERKIT 3.0\CSODIALER.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\HIJACKTHIS_199\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRAMME\T-ONLINE\ISDN SPEEDMANAGER\TOMCAT.EXE"
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [HaMFrontPanel] C:\WINDOWS\hampanel /B:Software\Ambient\HaM
O4 - HKLM\..\Run: [DiTask] C:\WINDOWS\ditask.exe
O4 - HKLM\..\Run: [EICONCARD_DAEMON] C:\Program Files\Deutsche Telekom\Management System\WATCH.EXE
O4 - HKLM\..\Run: [CGUARD] C:\Program Files\Deutsche Telekom\Management System\CGSERVER.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\Run: [mwavscan] "C:\bases\MWAVSCAN.COM" /s
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe



Sun Mar 20 16:53:09 2005 => ***** Scanning complete. *****

Sun Mar 20 16:53:09 2005 => Total Files Scanned: 2799
Sun Mar 20 16:53:09 2005 => Total Virus(es) Found: 3
Sun Mar 20 16:53:09 2005 => Total Disinfected Files: 0
Sun Mar 20 16:53:09 2005 => Total Files Renamed: 0
Sun Mar 20 16:53:09 2005 => Total Deleted Files: 0
Sun Mar 20 16:53:09 2005 => Total Errors: 1
Sun Mar 20 16:53:09 2005 => Time Elapsed: 00:04:13
Sun Mar 20 16:53:09 2005 => Virus Database Date: 2005/03/20
Sun Mar 20 16:53:09 2005 => Virus Database Count: 122672

cronos 20.03.2005 17:07
Ja,
Im abgesicherten Modus bei deaktivierter Systemwiederherstellung.

http://www.systemwiederherstellung-d...indows-xp.html

Laure 20.03.2005 17:13
Okay, dann lösche ich sie so, danke :)

cronos 20.03.2005 17:15
Ach ja,kannst auch noch folgende Einträge fixxxen:

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)

Haui45 20.03.2005 17:15
Zitat:
Total Files Scanned: 2799
Du hast eScan falsch ausgeführt. => Scanne dein System erneut mit eScan im abgesicherten Modus und halte dich diesmal bitte genau an die Anleitung ("all local drives" muss aktiviert sein)

cronos 20.03.2005 17:16
Upps-hat ich glatt übersehen.
Natürlich hat Haui recht.

Laure 20.03.2005 17:24
Hab sie gelöscht.

Wo ist denn nochmal die Anleitung? Finde den link nicht mehr :-(

cronos 20.03.2005 17:25
http://www.trojaner-info.de//hijacker/escan

Da ist sie

Laure 20.03.2005 17:57
Sorry, dass ich so schwierig bin :-(

Logfile of HijackThis v1.99.1
Scan saved at 17:48:43, on 20.03.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\T-ONLINE\ISDN SPEEDMANAGER\TOMCAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\HAMPANEL.EXE
C:\WINDOWS\DITASK.EXE
C:\PROGRAM FILES\DEUTSCHE TELEKOM\MANAGEMENT SYSTEM\WATCH.EXE
C:\PROGRAM FILES\DEUTSCHE TELEKOM\MANAGEMENT SYSTEM\CGSERVER.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGCC.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
C:\WINDOWS\DIINFO.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\HIJACKTHIS_199\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRAMME\T-ONLINE\ISDN SPEEDMANAGER\TOMCAT.EXE"
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [HaMFrontPanel] C:\WINDOWS\hampanel /B:Software\Ambient\HaM
O4 - HKLM\..\Run: [DiTask] C:\WINDOWS\ditask.exe
O4 - HKLM\..\Run: [EICONCARD_DAEMON] C:\Program Files\Deutsche Telekom\Management System\WATCH.EXE
O4 - HKLM\..\Run: [CGUARD] C:\Program Files\Deutsche Telekom\Management System\CGSERVER.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\Run: [mwavscan] "C:\WINDOWS\TEMP\MWAVSCAN.COM" /s
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe


Sun Mar 20 17:40:41 2005 => ***** Scanning complete. *****

Sun Mar 20 17:40:41 2005 => Total Files Scanned: 21232
Sun Mar 20 17:40:41 2005 => Total Virus(es) Found: 4
Sun Mar 20 17:40:41 2005 => Total Disinfected Files: 0
Sun Mar 20 17:40:41 2005 => Total Files Renamed: 0
Sun Mar 20 17:40:41 2005 => Total Deleted Files: 0
Sun Mar 20 17:40:41 2005 => Total Errors: 2
Sun Mar 20 17:40:41 2005 => Time Elapsed: 00:12:35
Sun Mar 20 17:40:41 2005 => Virus Database Date: 2005/03/20
Sun Mar 20 17:40:41 2005 => Virus Database Count: 122672

cronos 20.03.2005 18:00
Sun Mar 20 17:40:41 2005 => ***** Scanning complete. *****

Sun Mar 20 17:40:41 2005 => Total Files Scanned: 21232
Sun Mar 20 17:40:41 2005 => Total Virus(es) Found: 4
Sun Mar 20 17:40:41 2005 => Total Disinfected Files: 0
Sun Mar 20 17:40:41 2005 => Total Files Renamed: 0
Sun Mar 20 17:40:41 2005 => Total Deleted Files: 0
Sun Mar 20 17:40:41 2005 => Total Errors: 2
Sun Mar 20 17:40:41 2005 => Time Elapsed: 00:12:35
Sun Mar 20 17:40:41 2005 => Virus Database Date: 2005/03/20
Sun Mar 20 17:40:41 2005 => Virus Database Count: 122672[/QUOTE]

Und was wurde denn jetzt gefunden?

Deine Einstellungen bezüglich des Scans waren so wie hier gesetzt?

http://www.trojaner-info.de//hijacker/bilder/escan.jpg

Laure 20.03.2005 18:16
Jepp, das hatte ich so eingestellt, wie auf der Zeichnung.

Was er gefunden hatte, waren keine richtigen Viren o. Ä., es waren alles "not-a-virus"

File D:\Scoop2002\mirc32.exe tagged as not-a-virus:RiskWare.mIRC.5.9.1. No Action Taken.
File D:\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.01. No Action Taken.
File D:\Eigene Dateien\Eigene Videos\AGSetup0608.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\hijackthis_199\backups\backup-20050319-194020-406.dll infected by "not-a-virus:AdWare.ToolBar.Ilookup.b" Virus. Action Taken: No Action Taken.

Haui45 20.03.2005 18:23
Log schaut imho wieder sauber aus, ich empfehle dir noch die Verwendung eines alternativen Browsers.

btw:
Zitat:
O4 - HKLM\..\Run: [mwavscan] "C:\WINDOWS\TEMP\MWAVSCAN.COM" /s
läuft zwar immer noch in einem temporären Verzeichnis, aber das ist mir jetzt egal. Die Zeile bitte fixen, damit eScan beim Systemstart inaktiv bleibt.


Zitat:
C:\hijackthis_199\backups\backup-20050319-194020-406.dll infected by "not-a-virus:AdWare.ToolBar.Ilookup.b" Virus. Action Taken: No Action Taken.
Bitte noch löschen.

Laure 20.03.2005 18:31
Es läuft in zwei verzeichnissen, ich habe es immer von \bases aus gesatertet und jedesmal vergessen es aus dem anderen verzeichnis zu löschen. tut mir leid!

Ich nehme jetzt den t-online Browser, warum er nicht angezeigt wird, weiss ich nicht :-7

Okay, dann löschei ch noch das eine file, dann ist alles okay??

dartus 20.03.2005 18:34
Hallo Laure,

nimm bitte nicht den T-online Browser!
Das ist nur ein aufgesetzter IExplorer.

dartus

Laure 20.03.2005 19:03
@dartus: Warum nicht? Ist er so schlecht? Ich hatte ihn halt eh auf dem PC.

Ich hab noch ne Frage:
Immer, wenn ich aus dem Netz gehe und die Verbindung trenne, kommt ein kleines Fenster mit nem roten Schild, wo ein weisses "X" drin ist, das Fenster nennt sich "DB Administration". Man kann es nicht wegklicken, sondern nur durch klicken von "Ok" geht es weg.
Was ist das?

Liebe Grüße und danke!!!

Laure

cronos 20.03.2005 19:05
Zitat:
Zitat von Laure
@dartus: Warum nicht? Ist er so schlecht? Ich hatte ihn halt eh auf dem PC.
Weil er die gleichen Lecks wie der IE hat.

Laure 20.03.2005 19:12
Und welchen soll ich dann nehmen?
Mozilla ist zu heavy - zumindest laut der Beschreibung hier im Forum.

cronos 20.03.2005 19:13
Schau dir die Browser doch mal an.Deinstallieren kannst du sie hinterher immer noch.

Yopie 20.03.2005 19:22
Zitat:
Zitat von Laure
Und welchen soll ich dann nehmen?
Mozilla ist zu heavy - zumindest laut der Beschreibung hier im Forum.
Was meinst Du damit?

Gruß :daumenhoc
Yopie

Haui45 20.03.2005 19:26
@Laure
Nimm einfach Firefox: schnell, klein und benutzerfreundlich.

@Yopie
Ich weiß, dass dir die Suite besser gefällt ;)

Rene-gad 20.03.2005 19:30
@Laure
Zitat:
Mozilla ist zu heavy...
Wenn du ein Paket zum Surfen, Mailen, Web-Seiten schreiben, Adressen verwalten suchst, bist du bei Mozilla Suite bestens bedient. Firefox ist sehr gut (Hallo Haui45 ;)), enthält aber nur Browser. Als E-Mail-Client ist in dem Fall Thunderbird Mail zu empfehlen.

Laure 20.03.2005 19:37
Danke euch!
:)


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:04 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19