Thema: Fragen und Antworten zu Viren/Trojanern/Spyware

danke das werde ich machen, kann ich meinen Avira scanner abbrechen ?
Und Taugt Spyware Terminator was ?


/e wichtig:
Ich hab in meinem C/Programmfieles irgendwie ein Ordner namens "Filesubmit" gefunden, den hab ich gleich raus und mit TUne up shredder sicher nach Gudman gelöscht 4x wiederholung.
Könnte es an den Filesubmit ordner liegen ?

So Leute, ich hab mal eine Aufgabe für euch

Ich wollte gleich einen Thread erstellen, zum Glück hab ich diesen Thread gefunden weil sonst hätte es wieder n Drama gegeben :P

So zum eigentlichen Problem:

Bei uns auf der Schule ist so n "Hacker" nennen wir ihn Hans.
Mit diesem Hans komm ich nicht so gut aus und hatte letztens auch nicht so gute Erfahrungen mit ihm. Naja türlich besteht immer die möglichkeit, dass er mich hacken kann da er rein psychisch und physisch unterlegen ist Heute Abend wollt ich mir mal wieder einen Film im Internet ankucken doch ich hab noch ziemlich schnell gemerkt, dass das heute Abend leider nicht gehen wird da das Internet soo doll langsam war Ich dachte ich check mal meinen Pc mit dem Virenscanner was ich eig. nicht viel mache. Nach ein paar Minuten, TöRöööö, öh ein TR/PWS/irgendeinpaarzahlen*.1 (*Da sollten echt Zahlen stehen die ich aber vergessen habe ^^) Ich dachte mir erstmal: "Na toll, wieder so ein Trojaner und meine Passwörter kann ich jetzt auch alle ändern gehen."

Ich wollte euch mal fragen was der für Auswirkungen hat

Naja, toll. Während dem ich euch das alles nett aufschreibe, TööRRRöö, einen Virus names "SPR/RemoteSD" die Vireninformation türlich wieder mal nichts wie beim Trojaner schon

Was bedeutet der Trojaner "TR/PWS.irgendeinpaarzahlen.1" und was der nette Virus
"SPR/RemoteSD"

Danke für eure Antworten

Freundliche Grüsse
pep0

Hi,

poste zu erst mal die Dateien und Pfade die als Virus erkannt wurden.

PWS, sollte laut den Namen auf Passwörter ausgerichtet sein, also gibt keine ein in der Zeit .

RemoteSD... SD für Shutdown, ferngesteuerter Herunterfahren des Rechners... SPR bedeutet Security Privacy Risk. Das sind Programme die möglicherweise das System bzw. deine Privatssphäre verletzen könnten. Also kein Schädling, häufig werden sie gar vom Benutzer bewusst eingesetzt .

Ansonsten solltest du noch ein Hijackthis-Logfile posten, um einen kleinen Übersicht über das System zu erhalten .

Lade dir Hijackthis runter (oben rechts unter "direktdownload")
Entpacke es in einem eigenen Ordner (z.B.: C:\Programme\Hijackthis)
Nenne die Hijackthis.exe in abc.exe um.
Führe die Datei aus und klicke auf "Do a system scan and save a logfile"
Nach einigen Sekunden öffnet sich ein Editorfenster, dessen kompletten
Inhalt kopierst du dann hier in diesen Thread als Code-Tags rein.

mfg
bLacK_dRaSanG

bLacK_dRaSanG

Hi,

poste zu erst mal die Dateien und Pfade die als Virus erkannt wurden.

PWS, sollte laut den Namen auf Passwörter ausgerichtet sein, also gibt keine ein in der Zeit .

RemoteSD... SD für Shutdown, ferngesteuerter Herunterfahren des Rechners... SPR bedeutet Security Privacy Risk. Das sind Programme die möglicherweise das System bzw. deine Privatssphäre verletzen könnten. Also kein Schädling, häufig werden sie gar vom Benutzer bewusst eingesetzt .

Ansonsten solltest du noch ein Hijackthis-Logfile posten, um einen kleinen Übersicht über das System zu erhalten .

Lade dir Hijackthis runter (oben rechts unter "direktdownload")
Entpacke es in einem eigenen Ordner (z.B.: C:\Programme\Hijackthis)
Nenne die Hijackthis.exe in abc.exe um.
Führe die Datei aus und klicke auf "Do a system scan and save a logfile"
Nach einigen Sekunden öffnet sich ein Editorfenster, dessen kompletten
Inhalt kopierst du dann hier in diesen Thread als Code-Tags rein.

mfg
bLacK_dRaSanG

Naja, auf meinem Pc ist nicht alles so korreckt weisst du

Was wird dann alles gescannt und was schreib ich dann ins Forum ?

Freundliche Grüsse
pep0


€dit :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:58:51, on 24.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avmailc.exe
C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Search Settings\SearchSettings.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\Programme\HijackThis\HijackThis.exe
C:\Programme\HijackThis\HijackThis.exe


--
End of file - 1681 bytes



Bringt das was cO ?

p3p0_

Naja, auf meinem Pc ist nicht alles so korreckt weisst du

Was wird dann alles gescannt und was schreib ich dann ins Forum ?

Freundliche Grüsse
pep0

Das Logfile enthält eine ganze Menge.

Laufende Programme
R0, R1, R2, R3 Internet Explorer Start/Suchseiten URLs
F0, F1, F2, F3Autostart Programme
N1, N2, N3, N4Netscape/Mozilla Start/Suchseiten URLs
O1Hosts-Datei Umleitungen
O2Browser Hilfe Objekte
O3Internet Explorer Werkzeugleiste
O4Autostart Programme aus der Registrierung
O5IE Optionssymbole die nicht im Bedienungsfeld sichtbar sind
O6IE Optionszugänge die auf Administratoren beschränkt sind
O7Regedit Zugang der auf Administoren beschränkt ist
O8Extra Einträge im IE recht-klick Menü
O9Extra Button auf der Haupt IE Symbolleiste, oder Extra Einträge im Extras Menü
O10 Winsock Hijacker
O11Extra Gruppe im IE 'Erweiterte Optionen' Fenster
O12IE plugin
O13IE Standardeinstellungen Prefix HijackO14Webeinstellungen zurücksetzten Hijack
O15Ungewollte Seiten in der Vertrauenswürdige Seiten Sektion
O16ActiveX Objekte (auch bekannt als herunter geladene Programmdateien)
O17Lop.com/Domain Hijackers
O18Extra Protokolle und Protokollhijacker
O19User style sheet Hijack
O20AppInit_DLLs Registrierungswert Autorun
O21ShellServiceObjectDelayLoad
O22SharedTaskScheduler
O23Windows XP/NT/2000 Dienste

Wirklich Privat sind eigentlich nur die Start- und Suchseiten, Programme und der Kontoname. Ansonsten werden wahrscheinlich die meisten Punkte gar nicht mal aufgeführt.
Die Seiten von Firefox, werden gar nicht mehr erfasst...

Ein Beispiel:

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:04:05, on 24.11.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\TrueCrypt\TrueCrypt.exe
C:\Windows\SysWOW64\Ctxfihlp.exe
C:\Program Files (x86)\Portrait Displays\Pivot Software\wpCtrl.exe
F:\Security\Scanner\Primär\G DATA TotalCare\AVKTray\AVKTray.exe
C:\Program Files (x86)\Portrait Displays\HP My Display\DTHtml.exe
C:\Program Files (x86)\Portrait Displays\Pivot Software\floater.exe
C:\Windows\SysWOW64\CTXFISPI.EXE
F:\Online\Kommunikation\Browser\WWW\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\ICQ6.5\ICQ.exe
F:\Online\Spiele\Verwaltung\Steam\Steam.exe
F:\Online\Kommunikation\Browser\E-Mail\Mozilla Thunderbird\thunderbird.exe
C:\Program Files (x86)\Internet Explorer\IELowutil.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: G Data WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - F:\Security\Scanner\Primär\G DATA TotalCare\Webfilter\AVKWebIE.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: G Data WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - F:\Security\Scanner\Primär\G DATA TotalCare\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [PivotSoftware] "C:\Program Files (x86)\Portrait Displays\Pivot Software\wpctrl.exe"
O4 - HKLM\..\Run: [DT HPW] C:\Program Files (x86)\Common Files\Portrait Displays\Shared\DT_startup.exe -HPW
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] F:\Security\Scanner\Primär\G DATA TotalCare\AVKTray\AVKTray.exe
O4 - HKCU\..\Run: [TrueCrypt] "C:\Program Files (x86)\TrueCrypt\TrueCrypt.exe" /q preferences
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Global Startup: SetPointII.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://F:\SYSTEM~2\Dateien\TEXT-P~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\SYSTEM~2\Dateien\DATENB~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O13 - Gopher Prefix: 
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.0.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15108/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6FDE4322-0088-4FDD-8297-5CF205EEF6C7}: NameServer = 190.164.175.21
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: astcc - Nalpeiron Ltd. - C:\Windows\SysWOW64\AstSrv.exe
O23 - Service: G Data AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Program Files (x86)\Common Files\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G Data Scheduler (AVKService) - G Data Software AG - F:\Security\Scanner\Primär\G DATA TotalCare\AVK\AVKService.exe
O23 - Service: G Data Dateisystem Wächter (AVKWCtl) - G Data Software AG - F:\Security\Scanner\Primär\G DATA TotalCare\AVK\AVKWCtlX64.exe
O23 - Service: Creative ALchemy AL6 Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\AL6Licensing.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Program Files (x86)\Common Files\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: G Data Backup Service - G Data Software AG - F:\Security\Scanner\Primär\G DATA TotalCare\AVKBackup\AVKBackupService.exe
O23 - Service: G Data Tuner Service - G Data Software AG - F:\Security\Scanner\Primär\G DATA TotalCare\AVKTuner\AVKTunerService.exe
O23 - Service: G Data Scanner (GDScan) - G Data Software AG - C:\Program Files (x86)\Common Files\G DATA\GDScan\GDScan.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - F:\Online\Kommunikation\Virtuelles Netzwerk\Teamviewer\Version4\TeamViewer_Service.exe
O23 - Service: @F:\Systemverwaltung\Dateien\Reinigung\TuneUp 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - F:\Systemverwaltung\Dateien\Reinigung\TuneUp 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - F:\Systemverwaltung\Dateien\Reinigung\TuneUp 2010\TuneUpUtilitiesService64.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 10126 bytes

Hallo,

Ich hab dsl 6000, aber mein internet (am Laptop) ist sehr langsam. Woran könnte das liegen? beim download hab ich höchstens 55kb/s.
Es ist sehr nervig, wenn downloads immer so ewig lange brauchen und internetseiten sich oft so lahm aufbauen....
hat wer einen rat?

ich habe einen laptop und ein modem das angemeldet ist ( thomson )
ich möchte es aber nicht immer einstecken müssen
erklärt mir bitte wie ich vorgehen muss um es mit wlan zu verbinden
PS: habe Vista

Enton2009

ich habe einen laptop und ein modem das angemeldet ist ( thomson )
ich möchte es aber nicht immer einstecken müssen
erklärt mir bitte wie ich vorgehen muss um es mit wlan zu verbinden
PS: habe Vista

hat das etwas mit viren/trojanern oder spyware zu tun?
wenn ja dann sorry das ich frage xD

srry aber es gibt keinen passenden threat für das beantwortet es bitte dann lass ich es auch oder schreibt es mir bei pn

Ich habe gerade das Trojanische Pferd TR/Dropper.Gen .
Wie kann man den wegkriegen?

Hier ist ein Hijackthis logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:57:08, on 11.12.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\arservice.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ARPWRMSG.EXE
C:\Programme\HP DigitalMedia Archive\DMAScheduler.exe
C:\Programme\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotif ier.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\WLAN Technology Corporation\WLAN_802.11g_Utility\ZDWlan.exe
C:\WINDOWS\system32\Macromed\Shockwave 10\PostUpdate.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=PAVILION&pf=deskto p
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=64&bd=PAVILION&pf=desk top
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=PAVILION&pf=deskto p
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=64&bd=PAVILION&pf=desk top
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=64&bd=PAVILION&pf=desk top
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=PAVILION&pf=deskto p
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=PAVILION&pf=deskto p
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg. dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE
O4 - HKLM\..\Run: [DMAScheduler] "c:\Programme\HP DigitalMedia Archive\DMAScheduler.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [HPBootOp] "C:\Programme\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [photo_id] C:\WINDOWS\system32\photo_id.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNoti fier.exe"
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BitComet] "C:\Programme\BitComet\BitComet.exe" /tray
O4 - HKCU\..\Run: [VeohPlugin] "C:\Programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKCU\..\Run: [photo_id] C:\Dokumente und Einstellungen\HP_Administrator\photo_id.exe
O4 - HKCU\..\RunOnce: [SWHelper] "C:\WINDOWS\system32\Macromed\Shockwave 10\PostUpdate.exe" 1014020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [photo_id] C:\WINDOWS\system32\config\systemprofile\photo_id.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [photo_id] C:\WINDOWS\system32\config\systemprofile\photo_id.exe (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Startup: ZDWLan Utility.lnk = C:\Programme\WLAN Technology Corporation\WLAN_802.11g_Utility\ZDWlan.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: My kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by129fd.bay129.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167155365656
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1218372189
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{666E250A-E39E-4140-B627-FE7463EAE42C}: NameServer = 192.168.2.1
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SearchAnonymizer - Unknown owner - C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\OCS\SM\Search AnonymizerHelper.exe (file missing)
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 12252 bytes

Guten Tag, alle miteinander...
Hatte vor einiger Zeit mal Avast! Antivirus von Alwil installiert, habe mir dann aber Kaspersky gekauft...
Seit einigen Tagen meldet mein Sicherheitscenter von Windows Vista, dass neben Kaspersky auch Avast! als Virenscanner geladen ist - beide seien nicht kompatibel! Nun hatte ich aber Avast! längst deinstalliert und heute auch alle Spuren aus der Registrierung entfernt - das Problem bleibt...
Kann mir jemand helfen, bitte?!

Ich habe einen Ipod Nano 4gb...

Und Heute hab ich denn an meinem Pc angeschlossen, und immer wenn der angeschlossen ist kommt immer alle 10sekunden eine Meldung das ein Virus gefunden wurde:

WORM/SdBot.134

Wie kann ich den wegmachen??? Immer wenn ich meinen Ipod rausnehme kommt nix mehr... aber sobald er dirn ist, kommt sofort ein Virus...

Gelöscht habe ich denn auch schon... aber der kommt immer wieder...

Danke schon mal im vor raus.

Hi,

versuche mal Folgendes bitte: lade Dir hier Spybot S&D herunter und lasse es mal d`rüberlaufen, wenn Dein iPod angeschlossen ist.

ich hab avast
und das meldet mir

Datei-Name: C:\Windows\System32\drivers\nvstor32.sys
Malware-Name: Win32:Alureon-EU
Malware-typ: Virus/Wurm
VPS Version:100125-2, 25.01.2010

hijackthis, Malwarebytes finden nichts
ich kann denn "virus" löschen aber dann startet mein Laptop nicht mehr (kommt dann eine fehlermeldung beim systemstart und das er ein systemrecovery machen will)

frage: ist das überhaut ein virus ? ô.O

Cloud

ich hab avast
und das meldet mir

Datei-Name: C:\Windows\System32\drivers\nvstor32.sys
Malware-Name: Win32:Alureon-EU
Malware-typ: Virus/Wurm
VPS Version:100125-2, 25.01.2010

hijackthis, Malwarebytes finden nichts
ich kann denn "virus" löschen aber dann startet mein Laptop nicht mehr (kommt dann eine fehlermeldung beim systemstart und das er ein systemrecovery machen will)

frage: ist das überhaut ein virus ? ô.O

kann keiner helfen ?

ich hab jetzt auch noch SUPERAntiSpyware und Ad-Aware 2008 durchlafen lassen
die haben auch nichts gefunden

könnte es eine flachmeldung von Avast sein ?

Hallo Cloud,

ich habe mich gestern schon mit Deinem Problem beschäftigt, komme aber zu keinem eindeutigen Ergebnis. Ich vermute, daß es sich um ein sog. "Rootkit" handeln könnte, das weiß ich aber nicht genau, da mir die Endung "-EU" in diesem Zusammenhang nicht bekannt ist.
Aber - Du kannst einen Rootkit-scan machen, ein passendes Tool findest Du auf dieser Seite.

Worry

Hallo Cloud,

ich habe mich gestern schon mit Deinem Problem beschäftigt, komme aber zu keinem eindeutigen Ergebnis. Ich vermute, daß es sich um ein sog. "Rootkit" handeln könnte, das weiß ich aber nicht genau, da mir die Endung "-EU" in diesem Zusammenhang nicht bekannt ist.
Aber - Du kannst einen Rootkit-scan machen, ein passendes Tool findest Du auf dieser Seite.

ah danke

ich scan gerade ^^

hab mal nach Rootkit gegooglet
und wikipedia sagt :

Kernel-Rootkits

Kernel-Rootkits ersetzen Teile des Betriebssystemkerns durch eigenen Code, um sich selbst zu tarnen („stealth“) und dem Angreifer zusätzliche Funktionen zur Verfügung zu stellen („remote access“), die nur im Kontext des Kernels („ring-0“) ausgeführt werden können. Dies geschieht am häufigsten durch Nachladen von Kernelmodulen. Man nennt diese Klasse von Rootkits daher auch LKM-Rootkits (LKM steht für engl. „loadable kernel module“). Einige Kernel-Rootkits kommen auch ohne LKM aus, da sie den Kernelspeicher direkt manipulieren. Unter Windows werden Kernel-Rootkits häufig durch die Einbindung neuer .sys-Treiber realisiert.

Ein solcher Treiber kann Funktionsaufrufe von Programmen abfangen, die beispielsweise Dateien auflisten oder laufende Prozesse anzeigen. Auf diese Weise versteckt das Rootkit seine eigene Anwesenheit auf einem Computer.

ich würde sagen das das sowas ist
jetzt muss ich nur noch rausfinden wie ich es wieder loswerde ohne denn treiber zu löschen

system recovery (auslieferungszustand wiederherstellen)wollte ich eigentlich nicht machen
aber wenn es sonst keine option gibt ... :/

Entfernung von Rootkits

Da eine hundertprozentige Erkennung von Rootkits unmöglich ist, ist die beste Methode zur Entfernung die komplette Neuinstallation. Jedoch gibt es für viele Standard-Rootkits, z.B. das Sony Rootkit, bereits Programme zur Erkennung und Entfernung.

ich mach dann edit wenn der scan vorbei ist ô.O

edit: das Anti-Rootkit findet auch nichts ô.O!

Hi Cloud,

dann kann ich Dir auch nicht weiterhelfen, unsere Hardware-Keule wäre da geeignet. Bevor Du Dein System neu aufsetzt, solltest Du abwarten, was andere Dir raten. Ich bin sowieso erstmal grundsätzlich gegen "Plattmachen", das meiste bekommt man so wieder geregelt.

Worry

Hi Cloud,

dann kann ich Dir auch nicht weiterhelfen, unsere Hardware-Keule wäre da geeignet. Bevor Du Dein System neu aufsetzt, solltest Du abwarten, was andere Dir raten. Ich bin sowieso erstmal grundsätzlich gegen "Plattmachen", das meiste bekommt man so wieder geregelt.

jo
leider bist du bisher die einzige die zu helfen versucht.... vielleciht kommt noch einer ...

hier nochmal worum es geht:

Cloud

ich hab avast
und das meldet mir

Datei-Name: C:\Windows\System32\drivers\nvstor32.sys
Malware-Name: Win32:Alureon-EU
Malware-typ: Virus/Wurm
VPS Version:100125-2, 25.01.2010

hijackthis, Malwarebytes finden nichts
ich kann denn "virus" löschen aber dann startet mein Laptop nicht mehr (kommt dann eine fehlermeldung beim systemstart und das er ein systemrecovery machen will)

frage: ist das überhaut ein virus ? ô.O

Du solltest es mal mit GMER versuchen...
Eine Anleitung und Dowloadlink findest Du hier...NEW INSTRUCTIONS - Read This Before Posting For Malware Removal Help - Tech Support Forum