als ich neulich mit dem IE surfe, was ich eigentlich nicht tu, haben sichz ziemlich viele fenter geöffnet.
ich hab alle geschlossen, meldungen auch, aber danach war die ganze partition verseucht.
ich lies adaware laufen, 80sachen gefunden gelöscht, trotzdem war die partition und der systemstart voller einträge.
ich hab die partition gelöscht.
nun bin ich auf meiner erstatzpartition und bin mir ziemlich sicher, dass auch hier irgendwelche dateien infiziert sind.
hab bissle rumgesöbert und gesehen, dass ihr hier folgende progs und logs benutzt:
Logfile of HijackThis v1.99.0
Scan saved at 18:52:29, on 23.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Steam\Steam.exe
C:\mIRC\mirc.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\DOKUME~1\kirt\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\kirt\LOKALE~1\Temp\kavss.exe
C:\Dokumente und Einstellungen\kirt\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DA96C05-7576-47A7-A0B4-A7E08866999C}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{2DA96C05-7576-47A7-A0B4-A7E08866999C}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{2DA96C05-7576-47A7-A0B4-A7E08866999C}: NameServer = 192.168.0.1
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
eSCAN folgendes:
File C:\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
File C:\RECYCLER\S-1-5-21-515967899-1004336348-725345543-1003\Dc6.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.File C:\System Volume Information\_restore{B4BD54DC-2320-4DE1-BD52-AE2CE405D2F2}\RP2\A0000276.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.
File F:\Dokumente und Einstellungen\Administrator\Desktop\FlashFXP_21_Setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\Dokumente und Einstellungen\Administrator\Desktop\MAMA\MICHAEL\544_cs1005.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.
File F:\Dokumente und Einstellungen\Administrator\Desktop\MAMA\MICHAEL\Installer\3D Studio Max 5.1 Update.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Antivir hat nix gefunden.
im systemstart finde ich folgende einträge suspekt:
NvCPL und NVMCTRAY
danke
