PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Geschlossen Win32:Trojan-gen {Other}



Oriiichen
13.07.09, 14:48
Halloöchen,

Win32:Trojan-gen {Other}hat heute mein Avast ausgespuckt. Wie soll cih vorgehen??

HijackThis Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:47:47, on 13.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Bonjour\mDNSResponder.exe
F:\Programme\java\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Acronis\TrueImageHome\TrueImageMonito r.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonito r.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
F:\Programme\Itunes\iTunesHelper.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
F:\Programme\java\bin\jusched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Alwil Software\Avast4\ashSimpl.exe
E:\Need4speed\data\Uninstal.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = fritz.box;*.local
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Programme\java\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\Programme\java\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonito r.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonito r.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\Itunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Programme\java\bin\jusched.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ\ICQ6.5\ICQ.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - F:\Programme\java\bin\jqs.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc .exe

--
End of file - 6510 bytes


Freue mich schon auf Antworten....

Oriiichen
13.07.09, 14:49
Ich nutze Win XP und Avast 4.8

Catweezel
13.07.09, 17:36
Win32:Trojan-gen {Other}hat heute mein Avast ausgespuckt.

hi Oriichen,

Zwar sehr schön, das Logfile, aber eventll. erst mal wie mit Kanonen auf Spatzen schießen.
Ist auch erst mal (für mich) nichts Auffälliges.
Wobei kam denn diese Meldung.. Beim Aufruf einer Internetseite, bei einem Scan, oder verschieben von Dateien...?


Ich nutze Win XP...
Im Logfile steht SP2... ist dem so ? Entgegen so mancher Meinung sind wir hier aber dafür, XP mit dem aktuellen SP3 zu versehen. :wink:

....und Avast 4.8
davon sind wir jetzt ausgegangen... :D

Gruß Catweezel

Merlin
13.07.09, 19:32
Hallo,

wichtig ist in dem Zusammenhang, dass wir auch wissen worüber sich avast! beschwert hat. Üblicherweise wird bei diesen Meldungen das beanstandete Objekt mit angezeigt.

Oriiichen
13.07.09, 19:41
Hallo,

Danke für die Antworten :)

Wo bekomme ich denn den SP§ her? Kann ich den einfach von der MS Seite downloaden?

Also die Virusmeldung kam als ich ein Spiel gespielt ahbe. Ich hab die Infizierte Datei in den Container verschoben und den Rest vom Spiel deinstalliert. Danach hab ich einen ganz kompletten 3 Stündigen Check gemacht der dann weitere 2 Sachen auffand. 1 davon hat es automatisch gelöscht die andere auch in den Conatiner verschoben.

Hier mal ws Avast zu den Dateien sagt:


*1*

Prüfung ausgewählter Dateien
------------------------------------------------------------------------------------------
Programm versucht Prüfung von 1 gewählte(n) Datei(en) im Container

Dateien in temporären Ordner verschieben: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\_avast4_\unp130 438400.tmp
DateiID: 0000000005 Original Datei-Name: E:\System Volume Information\_restore{9BC7C186-5290-45AA-ADB5-F64DFF1084DA}\RP63\A0020409.dll Neuer Ordner: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\_avast4_\unp130 438400.tmp\5.dll

Datei-Prüfung in temporärem Ordner: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\_avast4_\unp130 438400.tmp
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\_avast4_\unp130 438400.tmp\5.dll Win32:Trojan-gen {Other}
------------------------------------------------------------------------------------------
Aktion wurde erfolgreich beendet!

*2*

Prüfung ausgewählter Dateien
------------------------------------------------------------------------------------------
Programm versucht Prüfung von 1 gewählte(n) Datei(en) im Container

Dateien in temporären Ordner verschieben: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\_avast4_\unp929 45001.tmp
DateiID: 0000000004 Original Datei-Name: E:\Need4speed\data\a3dapi.dll Neuer Ordner: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\_avast4_\unp929 45001.tmp\4.dll

Datei-Prüfung in temporärem Ordner: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\_avast4_\unp929 45001.tmp
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\_avast4_\unp929 45001.tmp\4.dll Win32:Trojan-gen {Other}
------------------------------------------------------------------------------------------
Aktion wurde erfolgreich beendet!

Hoffe das hilft euch ein wenig weiter.

Catweezel
13.07.09, 19:57
mache folgendes
1)Systemwiederherstellung ausschalten
viewtopic.php?p=3530&f=34#p3530 (http://forum.avast.de/viewtopic.php?p=3530&f=34#p3530)
2)Temporäre Dateien löschen - am besten mit dem ccleaner (http://www.ccleaner.de)
3) einen Boot-Time-Scan ausführen
viewtopic.php?p=3539&f=34#p3539 (http://forum.avast.de/viewtopic.php?p=3539&f=34#p3539)

was ist das hier ? ...fiel mir schon im Hijackthis-Logfile auf
E:\Need4speed\.......
Wenn das mit dem deinstalliertem Spiel zu tun hat... Runterschmeißen !


Wo bekomme ich denn den SP§ her? Kann ich den einfach von der MS Seite downloaden?
genau
http://www.microsoft.com/downloads/deta ... laylang=de (http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=de)
...oder auch über das Windowsupdate

Aber erst mal das Problem beseitigen :wink:

Gruß Catweezel

Oriiichen
13.07.09, 20:02
Frage zu 2.: Was muss ich denn mit dem CCleaner alles löschen? Würde gerne meine Firefox Daten wenn möglich behalten.

E:\Need4speed\....... is schon komplett gelöscht worden :D

Auggie
13.07.09, 20:07
Hallo

Interpretier ich das richtig, das Du die Dateien im Container geprüft hast?
Ich würde folgendes machen: Lasse den CCleaner die Registry bereinigen, um die Reste des Spiels zu tilgen.
Lösche per Hand die Dateien im temporären Ordner %Systemlaufwerk%\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temp (nur die, die sich normal löschen lassen)
Deaktiviere die komplette Systemwiederherstellung: Systemsteuerung---->Leistung und Wartung---->System---->Reiter Systemwiederherstellung---->Systemwiederherstellung auf allen Laufwerken deaktivieren (dabei gehen natürlich alle Wiederherstellungspunkte verloren!)
Damit sollten alle Reste des Fundes bereinigt sein.
Den fälligen Neustart verbindest Du mit einem Boottime-Scan.
Die Dateien im Container solltest Du löschen können (zumindest die des Spiels).
Wenn der Rechner sauber ist, das Service Pack 3 herunterladen; entweder separat von Microsoft oder über die Updateseite im Rahmen der normalen Updates.
Wundersam, das das SP 3 noch nicht installiert ist, das wird beim Holen von Updates eigentlich als erstes installiert......

Ciao Auggie

Edit: Du warst wieder schneller Catweezel :mrgreen:

Catweezel
13.07.09, 20:14
Lösche per Hand die Dateien im temporären Ordner %Systemlaufwerk%\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temp (nur die, die sich normal löschen lassen)
meinst du, da rennt der ccleaner nicht mit rüber ? Hätte das jetzt für komfortabelste Lösung gehalten.
[edit]
schon klar... zeitgleich geschrieben... werden wir den Opener nicht weiter verwirren... :wink:

Wundersam, das das SP 3 noch nicht installiert ist, das wird beim Holen von Updates eigentlich als erstes installiert......
...ist jetzt die Frage, ob überhaupt das automatische Update eingestellt ist.
Leider habe ich selbst keine Erfahrung, da ich mir die Servicepacks manuell runterziehe, um immer gleich die Windows-CD damit zu "verheiraten".

Gruß Catweezel

Oriiichen
13.07.09, 21:21
Abend,

ich hab Schritt 1, 2 und 3 durchgeführt. Im Container sind nach wie vor diese beiden Viren. Wie bekomm ich die weg?
Nach dem Bootime Scan kamen keine weiteren Nachrichten das iwas gefunden wurde das ist ein gutes Zeichen oder?

Kann ich die eingestellten Sachen jetzt rückgängig machen? Also Sytemwiederherstellung einschalten?

Hier das aktuelle HijackThis Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:22:43, on 13.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonito r.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonito r.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
F:\Programme\java\bin\jqs.exe
F:\Programme\Itunes\iTunesHelper.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
F:\Programme\java\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = fritz.box;*.local
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Programme\java\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\Programme\java\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonito r.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonito r.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\Itunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Programme\java\bin\jusched.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ\ICQ6.5\ICQ.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - F:\Programme\java\bin\jqs.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc .exe

--
End of file - 6461 bytes


Grüße Oriiichen

Merlin
13.07.09, 23:20
Hallo,

zum Update: Einfach mit dem Internet Explorer (wichtig! nur mit dem), auf http://update.microsoft.com gehen, nach der Suche nach Updates, sollte das SP3 eigentlich automatisch mit angeboten werden, ansonsten hier manuell runterladen und installieren: http://www.microsoft.com/downloads/deta ... laylang=de (http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=de)

Zum HiJackThis-Log: Wenn ich jetzt nichts übersehen habe, sollte das System eigentlich sauber sein. Zur Sicherheit sollte vielleicht nochmal ein Bootscan, wie auch von Auggie vorgeschlagen, durchgeführt werden. Ansonsten sollte es kein Grund zur Panik geben :-)

Auggie
14.07.09, 06:56
Im Container sind nach wie vor diese beiden Viren. Wie bekomm ich die weg?
Nach dem Bootime Scan kamen keine weiteren Nachrichten das iwas gefunden wurde das ist ein gutes Zeichen oder?
Die Dateien kannst Du manuell löschen in dem Du die Dateien im Container markierst und dann auf Löschen gehst; die werden nicht automatisch gelöscht.
Den Container sollte man sowieso regelmäßig löschen, wenn die installierten Programme keine Probleme verursachen.
Ich hab gesehen, Du hast TrueImage installiert: Du mußt jetzt das Image erneuern (komplett neu schreiben!), es sei denn, Du weißt, das das Image 100% sauber ist.

Ein kleine Bitte noch:
Sinnvoller als das HJT-Log wäre das Log von Avast gewesen, und das auch nur auszugsweise.
Wenn jemand ein Log von HJT oder ähnlichen Programmen für wichtig hält, wird er das auch sagen.
Das macht das Lesen des Threads für uns einfacher.

LG Auggie

Auggie
14.07.09, 07:05
meinst du, da rennt der ccleaner nicht mit rüber ? Hätte das jetzt für komfortabelste Lösung gehalten.
Ist es auch. Auf meinem System gibts leider einige Unterordner in dem Ordner, die mein CCleaner irgendwie nicht berücksichtigt.
In der Standardeinstellung vom CCleaner werden auch nur Dateien berücksichtigt, die älter als 1 Tag sind.

...ist jetzt die Frage, ob überhaupt das automatische Update eingestellt ist
Auch wenn man den von support beschriebenen Weg geht, wird das SP 3 eingespielt.
Das natürlich in "abgespeckter" Form, da ja viele darin enthaltenen Patches schon auf dem PC vorhanden sein sollten.
Allerdings ist das optional; angeboten wird es auf jeden Fall.

BTW: Am heutigen Patchday werden die bekanntgewordenen DirectShow-Lücken gepatcht!

LG Auggie

Catweezel
14.07.09, 07:44
....Zur Sicherheit sollte vielleicht nochmal ein Bootscan...
ist etwas unübersichtliche geworden der Thread (kein Wunder bei so viel Offtopic-Geschwafel :wink: )
Hat der Opener bereits ausgeführt :


Nach dem Bootime Scan kamen keine weiteren Nachrichten das iwas gefunden wurde das ist ein gutes Zeichen oder?

- somit scheint das Thema gegessen zu sein


In der Standardeinstellung vom CCleaner werden auch nur Dateien berücksichtigt, die älter als 1 Tag sind
hmm, ist mir noch nicht aufgefallen... gut, dass wir "gesprochen" haben. :wink:

Gruß Catweezel

Oriiichen
14.07.09, 14:24
Kann ich die eingestellten Sachen jetzt rückgängig machen? Also Sytemwiederherstellung einschalten?


darf ich die nun rückgängig machen?

Hallo ertsmal,

hab die Dateien aus dem Conatiner gelöscht.
Da update auf den SP3 schau ich mir gleich mal an.
Lol MS fixt die Lücke nach einem Jahr

LG Oriiichen

Auggie
14.07.09, 16:55
darf ich die nun rückgängig machen?
Du darfst :wink:
Selbstverständlich kann die Systemwiederherstellung wieder aktiviert werden; es ging nur darum, eventuell in Wiederherstellungspunkten gespeicherte Malware zu killen.
Die würden natürlich wieder mit zurück gespielt werden, wenn man die Systemwiederherstellung nach Malwarebefund aktiviert liesse.
Wobei Du die Systemwiederherstellung in Deinem Fall durchaus deaktiviert lassen könntest, da Du mit TrueImage ein Imageprogramm laufen hast; damit die Systemwiederherstellung ne Sache von höchstens 15 Minuten.

LG Auggie

Oriiichen
15.07.09, 15:18
Hallo,

Jo verstehe. Naja das Problem ist das ich mit True Image keine Backups hinbekomme. Iwie funktioniert das nicht wie es soll. Man muss ja immer den Rechner neustarten damit es anfängt zu überspielen. Bei mir erscheint zuerst das True Image Logo und dann kommen ewige Codes etc...

Auggie
15.07.09, 15:46
Für die Lösung mit TrueImage mach ich mal einen neuen Thread auf, dann ist dieser Thread übersichtlicher: viewtopic.php?f=20&t=1463 (http://forum.avast.de/viewtopic.php?f=20&t=1463)