Navy

Hallo erstma,
Ich hab schon seit ner Zeit en Virus, der heißt totour.exe. Ich glaub er wird auch Mittel AFG trojan genannt... Auf alle Fälle erkennt Avira Antivir den Trojaner nach jedem Systemstart wieder, und dann auch noch zwei mal. Es ist genau der gleich und wird in genau der gleichen sekunde erkannt. Dann lass ich 'die beiden' löschen, und mein Internet funktioniert noch. Ca. eine viertel Stunde danch, ist kein Drahtlosnetzwerk mehr verfügbar, und ich kann manchmal (manchmal) nur noch icq benutzen.

Nach einem Neustart wird der Virus nach einer viertel stunde wieder erkannt (2 mal)...
Unter D:WINXP/system32/totour.exe sollte der Virus eigentlich sein, gibt avira zumindest an, aber da ist er nicht!
Ich weiß nich mehr, was ich noch machen soll, fals mir irgendjemand helfen kann, dann danke
LG, Kati

Ostseesand

Hi,

lade dir den kaspersky herunter.
lass ihn den virus entfernen.
eventuell sogar im abgesicherten modus.

zudem rate ich dir zu folgendem:
adaware und spybot laden und mach auch ein hijackthis mit logfileauswertung, eventuell auch mal hier rein posten.

ps: dein sogenannter virus (trojaner) tritt meist nicht immer allein auf.

mfsto

Geh auf Hijackthis.de und downloade das Programm (Unter Direktdownload).
Entpacke es in einen EIGENEN Ordner(Nicht aus der Zip Datei starten!) z.B
C:\Programme\Hijackthis .

Starte die Anwendung .Geh auf "Do a system scan and save a logfile"
und poste das vollständige Logfile in Code-Tags.


Mfg

Navy

Hijackthis kenn ich ja, das hab ich schon länger:

Logfile of HijackThis v1.99.1
Scan saved at 20:44:30, on 18.6.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINXP\System32\smss.exe
D:\WINXP\SYSTEM32\winlogon.exe
D:\WINXP\system32\services.exe
D:\WINXP\system32\lsass.exe
D:\WINXP\system32\svchost.exe
D:\WINXP\System32\svchost.exe
D:\WINXP\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\DOKUME~1\Kati\LOKALE~1\Temp\tmp5F.tmp.exe
D:\WINXP\System32\nvsvc32.exe
D:\WINXP\System32\svchost.exe
D:\WINXP\Explorer.EXE
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
D:\Dokumente und Einstellungen\Kati\Eigene Dateien\sonstiges\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - D:\WINXP\system32\tmp7.tmp.dll (file missing)
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - D:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar4.dll
O2 - BHO: (no name) - {d9a1bfed-7ff7-4503-843f-38f2757f6796} - D:\WINXP\SYSTEM32\asrwiz.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar4.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Digest - D:\Programme\NeuroPower\Digest2005\npdigest.htm.ie
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://D:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://D:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://D:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://D:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\PROGRAMME\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\PROGRAMME\ICQ6\ICQ.exe
O9 - Extra button: Digest - {F9341940-7640-4157-9C5C-7D86B7449E20} - D:\Programme\NeuroPower\Digest2005\iereg.exe
O9 - Extra 'Tools' menuitem: Digest - {F9341940-7640-4157-9C5C-7D86B7449E20} - D:\Programme\NeuroPower\Digest2005\iereg.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europ...vex/hcImpl.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/online2/bejewe...ploader_v6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F984070-3042-4C1C-AEA3-317285E7A198}: NameServer = 217.237.150.51,217.237.148.22
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: asrwiz - D:\WINXP\SYSTEM32\asrwiz.dll
O20 - Winlogon Notify: avldr - D:\WINXP\SYSTEM32\avldr.dll
O20 - Winlogon Notify: ComPlusSetup - D:\WINXP\System32\catsrvut.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DomainService - - D:\DOKUME~1\Kati\LOKALE~1\Temp\tmp5F.tmp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINXP\System32\nvsvc32.exe


Bei Kaspersky auf der hp das hab ich nich kapiert, aber ich glaub, dass der den Trojaner nich findet, weil den ja niemand findet, der Explorer nich, ich nich, und noch drei andere Antiviren progs nich... aba hier is jetz erstma der logfile.

mfsto

Hi,

Fixe mit Hijackthis folgenden Eintrag:



Lass folgende Datein bitte bei einem Onlinescanner (http://virusscan.jotti.org/de/ oder www.virustotal.com ) überprüfen:

Damit die Ordner sichtbar werden :
Extras-->Ordneroptionen
-Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
-Geschützte Systemdateien ausblenden -> Haken weg
-Inhalte von Systemordnern anzeigen -> Haken setzen
-Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

Poste anschließend das vollständige Ergebnis des Scans , egal wie es ausfällt.

Also den von dir angegebenden Pfad des Schädlings >>> D:WINXP/system32/totour.exe ist im Hijackthis Logifle nicht zu finden. Vielleicht wurde dieser durch Kaserspky schon gelöscht.

Hast du Service Pack2 auf deinem Pc ?
Mfg

connor

hi kati!, iss ganz easy, machts es net so kompliziert...
du brauchst nur des programm "sdfix", welchesd auf unten angegebener page auch gleich runterladen kannst...führ die datei aus und installier sie nach c:\, danach neustarten und mit f8 im abgesicherten modus hochfahren, dann die runthis.bat im verzeichnis ausführen und ab dafür...;-)

steht hier alles nomal auf englisch!:
http://forums.techguy.org/security/5...-2-remove.html

grüsi
flo

Stalker

jop genau !
aber du bräuchtest vielleicht einen anderen schutz
antivir ist nicht gerade das "pro" unter den kostenlosen antivirensoftware

mfsto

Pahhh totaler Schwachsinn... AntiVir ist ein gutes und leistungsfähiges Programm .
Die Erkennungsrate ist gut , es ist bedienungsfreundlich , bietet viele Funktionen und und...

Nur weil hier alle aufem Kaserspky Trip sind ,muss das nicht heißen , dass AntiVir sofort schlecht ist ..
Kaspersky ist ein gutes Programm , was ich nicht bezweifel , jedoch auch nur in der kostenpflichtige Version wirklich nützlich.
Solange man die brain.exe einsetzt reicht AntiVir 100% ig aus!


Mfg

Stalker

ich bezweifel das auch nicht, dass antivir schlecht ist! nur in der regel reicht es für "normalverbraucher" das heißt für office pc´s auch! nur manchmal braucht man auch was anderes außerdem bin ich pandafan xDDDD

EDIT: NAVY IST ECHT NE HÜBSCHE !!!!!!!!!!!!

Navy

Ne, en Pack2 hab ich nich... aba ich hab auch erstmal das Prob mit totour.exe, weil so lang´sam aba sicher bricht das hier alles in sich zusammen...
Ich hab jetz Kaspersky installiert un Antivir deinstalliert, aba das hat alles och schlimma gemacht...
un jeeetz?
LG, Kati