Svenley

Hallo
also ich komm direkt zum punkt

in der letzten zeit bekomm ich unmengen an virus meldungen
die nenen sich so:
-L2.exe
-antzom.exe
-in16F.tmp
-win161.tmp.exe
-win177.tmp
-win163.tmp
-win16D.tmp
-xc29.exe
-xc37.exe
xc42.exe

und viieeele mehr
also ich habe schon herausgefunden wo sich ein paar dieser Viren befinden undzwar in meinem temp ordner
fakt ist wenn ich sie lösche kommen sie immer und immer wieder
was soll ich tun das war vorher nicht
ich benutze antivir, spywareterminartor und etrust pestpatrol
hab auch schon alles durchchecken lassen und wen ich die date löche kommen sie wieder
außerde nicht zu vergessen ich bekomme fast jedes mal wenn ich ne seite anwähle iese sch*** werbung von sohnem drive cleaner
das nervt X(

kann mir jemand sagen wie ich die sachen wieder loswerde? ich werd noch irre mit diesen lästigen vren nachrichten und dann diese blöde werbung X(

kann mir da jemand bitte helfen
Danke schon mal im voraus 8)

julchri

Hallo,

schalte mal Deine Systemwiederherstellung aus.
Computer im abgesicherten Modus starten, Virenscanner laufen lassen, gefundenes löschen.
Computer neu starten und nicht vergessen, Systemwiederherstellung aktivieren.

Svenley

alles klar werds mal versuchen 8)

mfsto

Geh auf Hijackthis.de und downloade das Programm (Unter Direktdownload).
Entpacke es in einen EIGENEN Ordner(Nicht aus der Zip Datei starten!) z.B
C:\Programme\Hijackthis .

Starte die Anwendung .Geh auf "Do a system scan and save a logfile"
und poste das vollständige Logfile in Code-Tags.


Gruß

Svenley

Hier

Logfile of HijackThis v1.99.1
Scan saved at 22:48:59, on 25.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CA\eTrust PestPatrol\PPActiveDetection.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programme\Muiltmedia keyboard Utility\2.0\KbdAp32A.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\USRobotics\Wireless PCI Manager\USR54G.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Azureus\Azureus.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\PeerGuardian2\pg2.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Sven\LOKALE~1\Temp\Rar$EX00.640\Hijack This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programme\CA\eTrust PestPatrol\PPActiveDetection.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Muiltmedia keyboard Utility\2.0\KbdAp32A.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: USRobotics Wireless PCI Adapter.lnk = C:\Programme\USRobotics\Wireless PCI Manager\USR54G.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6...ws-i586-jc.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Crawler.com - C:\Programme\WinClamAVShield\sp_clamsrv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe


nicht zu vergesesen
ich habe alle viren die mir angezeigt wurden in quarantäne geschoben
hier mal ein screnshot von den elementen
wenns nicht anders zu beheben ist werd ich wohl oder übel winows ne afsetzen müssen ;(

Gummistopfen

sowas ähnliches hatte ne bekante von mir auchmal, nur das sich der "virus" im system32 befinden sollte, naja wir alles mögliche versucht aber es nicht wirklich geschaft.

naja im endefekt hat sie dann nen manuelles update gemacht von anti-vir und dann war da kein virus mehr. vllt nochmal mitm update versuchen.

greetz Gummistopfen

mfsto

Fixe folgende Einträge unter Hijackthis:
Wie fixe ich?
--->Nach dem Scan erscheint die Auflistung aller Browser Helper(..O2 usw.)
Haken bei den beiden Einträgen und auf "Fix checked".

Die beiden müsste man auch fixen :
Bin mir bei den beiden Einträgen nicht ganz sicher , weshalb du dein Logfile bitte nochmal bei Hijackthis.de auswerten lässt .Falls bei den Einträgen steht"Unnötiger Eintrag...kann entfernt werden .." -->fixe die Einträge.

Lad die Dateien (Die vom Bild), wo du die auch immer hinverschoben hast ,ma bitte einzelnd bei VirusTotal oder Jotti hoch und poste das vollständige Ergebnis.
Mich würde interessieren , was hinter der Datei im System32 Ordner steckt(wtnlxsam.dll)

Mfg

Svenley

also ich versteh datnicht ich habe jetzt gefixt die dateien und dann nochma gescannt und dann sind die dateien nicht mehr da zum fixen 8o
kann es sein das die datei irgendwie verschoben wurde?
ich hab absolut kein plan wie datalles funtzt ?(

mfsto

Die Einträge die ich den Code-Tags zitiert habe hast du gefixt , richtig?
Es sollen nur diese Einträge gefixt werden- mehr nicht.
Was meinst du damit
Meinst du die vier Einträge? Stimmt schon , nach dem Fixen sollten die auch nicht mehr vorhanden sein.
Lass das erstma mit dem Hochladen und mach ma folgendes:
1.)Lade dir Crap Cleaner und führe ein Scan aus. Wie ich sehen kann sind einige der Schädlinge im Temp Ordner. Durch dieses Programm müssten wir zumindestens diese "kleineren" Probleme entfernen können.
Mach bitte erstma diesen Scan.
2.)Danach gehst du in "Abgesicherten Modus"
Wie komme ich in Abgesicherten Modus?
Drücke während des Bootvorgangs mehrmals "F8" --> dann einfach den abgesicherten Modus auswählen(Ohne Netzwerktreiber aktiv).
Mach einen Scan mit AntiVir und poste danach bitte nochmal den Bericht.
Dadurch müssten wir die kleineren Probleme beheben können.
Um die anderen Schädlige, wie z.b den TR/Vundo kümmern wir uns später.

Mfg

Svenley

soo
also zuerst mal
den ccleaner hatte ich schon drauf und auch checken lassen usw
hat nix gebrachtdann habe ich sogar den temp order komplett gelöscht gehabt
tatsahe ist das der ordner ja wieder kommt (is ja logisch)
nur das diese viren auch wieder mit drin steckten

naja hab jetzt mal im abgesicherten modus den viren scanner laufen lassen und diesmal waren nur 3 Funde dabei


hier der screenshot