|
| Autor | Mitteilung |
Françoise Boardkönig  Beiträge: 1482 | Gesendet: 11:35 - 14.05.2008 Hallo, bei mir wird von Antivir dauernd angezeigt, dass folgender Trojaner gefunden wurde. Dann bin ich auf den Link gegangen, doch leider spuckt Antivir darüber nicht wirklich Infos aus und der olle Gockel spuckt auch nix prickelndes aus, der verweist mich nämlich wieder an Antivir. Ich hab seitdem den Trendmicro Housecall 6.5 drüber laufen. Doch da Geduld nicht gerade mein Ding ist und der schon ewig vor sich hin nuddelt (zeigt weder an, wie er vorangekommen ist oder wie lange dat noch daaaaaaauert, sind jetzt ca 2 Stunden), hab ich Hijackthis drüber gejagt. Der hat unten stehendes File ausgespuckt. Nun muss ich allerdings sagen, dass ich bei dem Wust an Text die Übersicht verloren habe. Könntet Ihr, die im Hijackthisfile-lesen geübter sind, bitte mal drüber gucken, ob das Kerlchen was interessantes entdeckt hat? Ihr glaubt gar nicht, wie dankbar ich euch für eure Hilfe bin. LG Franzi Hier nun das Logfile: Logfile of HijackThis v1.99.1 Scan saved at 11:18:13, on 14.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\WgaTray.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\nvraidservice.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\jre1.5.0_11\bin\jusched.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\FlashGet\FlashGet.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\Programme\phonostar\ps_agent.exe C:\Programme\phonostar\ps_timer.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trillian\trillian.exe C:\Dokumente und Einstellungen\Meine\Desktop\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file) O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Programme\FlashGet\fgiebar.dll O3 - Toolbar: WikiSearch - {44E7EF6C-6F5C-4AAF-A080-7725A27878ED} - C:\PROGRA~1\WIKISE~1\WIKIPE~1.DLL O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [FlashGet] "C:\Programme\FlashGet\FlashGet.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx O8 - Extra context menu item: Find on Wikipedia... - C:\Programme\WikiSearch Toolbar\cm.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O15 - Trusted Zone: http://toolbar.imageshack.us O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muw eb_site.cab?1133942450140 O16 - DPF: {79E7DCE2-6306-4996-B7CB-C2601B2B7BD1} (DownloadCtrl Class) - https://stream.web.de/v/notify/Download.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bitdefender.de/scan/Msie/bitdefender.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Unknown owner - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUp WinStyler\WinStylerThemeSvc.exe (file missing) |
Françoise
Boardkönig Beiträge: 1482
|
Gesendet: 11:37 - 14.05.2008 Achso, ich Trottel! Der Trojaner heißt TR/Patched.BD.221 LG Franzi |
Donald
Boardkaiser Beiträge: 2682
|
Gesendet: 13:42 - 14.05.2008 |
Lukas
Premium-User Beiträge: 542
|
Gesendet: 14:14 - 14.05.2008 http://www.hijackthis.de/ Da gibt es eine automatische Auswertung für die Logfiles. Wie verlässlich das ist, kann ich dir aber nicht sagen. |
Nubira
Moderator Beiträge: 15134
|
Gesendet: 16:53 - 14.05.2008 Franzi, ich hab es mal eingegeben und bis auf eine Sache ist alles sauber bei Dir. Nur hier ist ein rotes Achtungs-Zeichen. O8 - Extra context menu item: Find on Wikipedia... - C:\Programme\WikiSearch Toolbar\cm.html Der Eintrag Find on Wikipedia... wurde als schädlich erkannt Also fixen! Außerdem stehen noch folgende Hinweise für Dich da: Zitat: Nubira |
Françoise
Boardkönig Beiträge: 1482
|
Gesendet: 20:42 - 14.05.2008 Hallo, also, ich hab das so gemacht, wie in der Anleitung, vorgeschlagen von Donald. Die Datei wurde beim Suchen im System nicht gefunden  Also dachte ich, ich wäre das Teil los, weit gefehlt. Heute nachmittag tauchte die Meldung dann immer öfter auf. Dann hat Carsten den Vorschlag gemacht, doch eine Systemwiederherstellung zu machen. Das hielt ich für eine gute Idee, tue ich immernoch. Gesagt und getan. Dann ist der PC wieder hochgefahren, doch Antivir startet nicht mehr, der Schirm unten im Systray ist zu. Ich werde darauf hingewiesen, dass ich ein Update machen soll, doch wenn ich das tue, kommt die Meldung, dass ich "optimal geschützt bin". Dann wollte ich eine vollständige Systemprüfung machen, doch dann kommt: User-Record verändert. Und oben bei Antivir steht "Dienst gestoppt. Ich würde ja gern googlen, doch ich möchte nicht ohne Virenschutz ins Internet. Was ist denn da nur los? Könnt ihr mir bitte helfen? Ich wäre euch so dankbar. LG Franzi |
Nubira
Moderator Beiträge: 15134
|
Gesendet: 21:11 - 14.05.2008 Franzi, hast Du den "Eintrag Find on Wikipedia" gefixt? Gotti hatte mal eine gute Anleitung geschrieben, was man bei einem verseuchten PC machen soll: Thema Wiederherstellungspunkt: Wenn Dein Rechner mit Viren oder anderen Schädlingen infiziert ist, macht das Setzen eines Wiederherstellungspunktes keinen Sinn. Warum? Weil die infizierten Dateien mit in die Sicherung einbezogen werden und dann bei einem Neustart natürlich wieder auf der Platte sind. Abhilfe: Durch das Deaktivieren der Systemwiederherstellung werden alleaktuellen Systemzustände gelöscht und somit auch die verseuchten Dateien. Und so geht man bei einem verseuchten PC vor: 1. Systemwiederherstellung deaktivieren 2. Computer runterfahren und mindestens eine Minute warten 3. während des Neu-Startens mehrfach die F8 Taste drücken. Dann kommst Du in den abgesicherten Modus 4. dann das Virenscannen und Beseitigen vornehmen 5. neu starten und die System - Wiederherstellung anschließend aktivieren Nubira |
Françoise
Boardkönig Beiträge: 1482
|
Gesendet: 21:49 - 14.05.2008 Hallo, Gotti hat Recht, das Sch...Teil ist schon wieder da  Ist die Datei C:\Windows\system32\sens.dll eine wichtige Systemdatei? Carsten hat gesagt, ich soll die einfach mit einer nicht virenverseuchten Dateiversion überspielen. Doch wo komme ich 1. an eine funktionierende dll-Datei ran und 2. hält das Biest so dermaßen hartnäckig, dass ich nicht glaube, dass es durch einfaches Überschreiben erledigt ist. Ich setze also morgen den Vorschlag von Gotti in die Tat um. Für heute hat mich der Kampf gegen den Drachen ääh das Pferd geschwächt und ich bin dadurch stark genervt. Gute Nacht euch allen und träumt nicht von Trojanern  LG Franzi |
Françoise
Boardkönig Beiträge: 1482
|
Gesendet: 07:57 - 15.05.2008 Guten Morgen, ich hab das dann doch gestern Abend noch gemacht, wie ihr das von Gotti geschrieben habt, also Systemwiederherstellung deaktivieren>>Abgesicherter Modus>>Virensuche>>Virenbeseitigung>>Systemwiederherstellung aktivieren. Hm, und jetzt trau ich mich gar nicht so richtig, Antivir ne Systemvolluntersuchung machen zu lassen und zu fragen, was er jetzt davon hält. |
Nubira
Moderator Beiträge: 15134
|
Gesendet: 08:00 - 15.05.2008 Dann mache doch einen Online-Virenscan mit einem anderen Anbieter, kann auf keinen Fall schaden. In unserer Linksammlung findest Du gleich am Anfang diverse Angebote. Vubira |
Donnervogel
Premium-User Beiträge: 536
|
Gesendet: 08:30 - 15.05.2008 |
Seiten mit Postings: 1 2 | - TR/Patched.BD.221 gefunden - | zum Seitenanfang |
|
|
Version 3.1 | Load: 0.002479 | S: 1_2 |