Und t�glich gr��t der Virus...

Page 1 of 2

03/30/2007 09:27 paradize#1

Gerade Pc neugestartet und direkt diese nette meldung bekommen. Die meldung kommt in der minute ca 500 mal und ich bin langsam am durchdrehen >.<

Problem gel�st!

03/30/2007 09:39 Orsimer#2

Hijackthis durchlaufen lassen und log posten :E

03/30/2007 09:43 reijin#3

sieht aus als sei deine Winlogon.exe hooked oder ersetzt worden... die l�uft im hintergrund mit, deshalb bekommste immer die meldung... schaut b�se aus....

wie orsimer gesagt hat: Hijackthis-Log posten
wenn du nix in erfahrung bringen kannst, mach am besten

Code:

format c&#58;

(bei nem trojaner am sichersten :D )

gru�, reijin

/EDIT//
datei blo� nich l�schen XD die brauchste noch :D
ich denke nur, dass sie von ner externen anwendung gehooked wurde...

03/30/2007 09:55 paradize#4

Quote:

Logfile of HijackThis v1.99.1
Scan saved at 09:54:53, on 30.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\v smon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Firebird\Firebird_1_5& #092;bin\fbguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\VIA\RAID\raid_too l.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\Programme\Firebird\Firebird_1_5& #092;bin\fbserver.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\Matthias\Desktop\UTor rent.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ICQLite\ICQLite.exe
D:\Programme\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\ AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvSta rtup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,Nv TaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BLASC] "C:\Programme\buffed.de\Blasc\ BLASC.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_too l.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip \..\{EDD05AEF-D87E-46E4-BDC4-655120D52E15}: NameServer = 217.237.150.188 217.237.150.115
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5& #092;bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5& #092;bin\fbserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\v smon.exe

03/30/2007 09:58 Orsimer#5

Also Hijackthis meint alles ist sicher bis auf Utorrent.exe das sollte woanders ausgef�hrt werden...

C:\Dokumente und Einstellungen\Matthias\Desktop\UTor rent.exe

Art

Eventuell sch�dlich! Laut unserer Datenbank l�uft dieser Prozess nomalerweise in c:\programme\! �berpr�fen Sie, ob Sie die Datei kennen und f�hren Sie ggf. einen Virencheck durch. Torrent Application

03/30/2007 09:59 paradize#6

�torrent hab ich schon l�nger, das kanns nich sein.

03/30/2007 09:59 reijin#7

Quote:

Originally posted by paradize@Mar 30 2007, 09:55

Quote:

Logfile of HijackThis v1.99.1
Scan saved at 09:54:53, on 30.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\v smon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Firebird\Firebird_1_5& #092;bin\fbguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\VIA\RAID\raid_too l.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\Programme\Firebird\Firebird_1_5& #092;bin\fbserver.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\Matthias\Desktop\UTor rent.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ICQLite\ICQLite.exe
D:\Programme\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\ AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvSta rtup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,Nv TaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BLASC] "C:\Programme\buffed.de\Blasc\ BLASC.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_too l.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip \..\{EDD05AEF-D87E-46E4-BDC4-655120D52E15}: NameServer = 217.237.150.188 217.237.150.115
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5& #092;bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5& #092;bin\fbserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\v smon.exe

k, also die winlogon.exe ist hooked oder ersetzt (ersteres eher zutreffend)
deshalb erkennt Hijackthis nix... mach mal nen virenscan und nen spyware scan.

//EDIT//
�Torrent ist safe ;)
und: mach echt nen spyware scan mit AdAware und Spybot S&D!!!
google sagt das auch :D

03/30/2007 10:05 RyZoOm...#8

Genau den selben virus hab ich seit den update heute nacht au oO''... mach gleich auch mal nen hijackthis log ...

03/30/2007 10:06 Orsimer#9

Was fuern update?

03/30/2007 10:08 paradize#10

Also wenn ich mit AntiVir scannen m�chte kommt direkt wieder die bescheuerte meldung, und antivir schmiert direkt ab.

[Only registered and activated users can see links. Click Here To Register...]

AdAware hat komischer weise nichts gefunden.

//edit//

Ergebnis von Spybot S&D

[Only registered and activated users can see links. Click Here To Register...]

03/30/2007 10:10 RyZoOm...#11

Quote:

Originally posted by Orsimer@Mar 30 2007, 10:06
Was fuern update?

Antivir update ;S

03/30/2007 10:54 reijin#12

Quote:

Originally posted by paradize@Mar 30 2007, 10:08
Also wenn ich mit AntiVir scannen m�chte kommt direkt wieder die bescheuerte meldung, und antivir schmiert direkt ab.

[Only registered and activated users can see links. Click Here To Register...]

AdAware hat komischer weise nichts gefunden.

//edit//

Ergebnis von Spybot S&D

[Only registered and activated users can see links. Click Here To Register...]

lool :eek:
haste vorher noch nie nen Spybot check gemacht!?! O_o

mach das mal alles ganz schnell weg!!
was ich auch empfehlen kann:
die Immunisierungs-Option! echt klasse! sperrt auch automatisch gef�hrliche (ned Keygen seiten oder so) pages! :)

gru�

03/30/2007 11:02 paradize#13

Problem hat sich gel�st!! Ich habe gar keinen Virus...das antivir programm hatte einen fehler nach dem updaten das es automatisch immer macht.

>>[Only registered and activated users can see links. Click Here To Register...]<<

DANKE f�r eure hilfe!

03/30/2007 11:09 reijin#14

Quote:

Originally posted by paradize@Mar 30 2007, 11:02
Problem hat sich gel�st!! Ich habe gar keinen Virus...das antivir programm hatte einen fehler nach dem updaten das es automatisch immer macht.

>>[Only registered and activated users can see links. Click Here To Register...]<<

DANKE f�r eure hilfe!

tu dir einen gefallen und checke trotzdem in zukunft �fter mit antispyware tools und benutz das immunisier-feature von Spybot S&D! :)
//EDIT//
danke f�r den Tip
+k

03/30/2007 11:25 CyRuSTheViRuS#15

Is nich das erste mal das AntiVir rumspackt ... der meinte vor ner Zeit mal Monatelang das Ragnarok Online n Trojaner sei ;O

Nehmt lieber n ordentliches Anti-Viren Proggy ;OOO

Page 1 of 2