Signatur des Droppers DR/Bridge.A.2

Benutz mal die Version 1.98.2, die 1.97 s schon ewig alt.

Haste den Virenscanner im abges.-Modus laufen lassen?

Gruß

Hier das aktualisierte Logfile.
Scan im abgesicherten Modus läuft gerade.
vieleicht hast du ja vorab schon eine Idee!?

Vielen Dank schon mal!
Nils


Logfile of HijackThis v1.98.2
Scan saved at 12:22:50, on 30.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\programme\u-storage tool2.91\ustorage.exe
C:\Programme\RAM Idle LE\RAM_XP.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\MA311 PCI Adapter Configuration Utility\wlanutil.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\SLEE81.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\INETUPD.EXE
C:\Dokumente und Einstellungen\nils\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [UStorag] c:\programme\u-storage tool2.91\ustorage.exe sys_auto_run C:\Programme\U-Storage Tool2.91
O4 - HKLM\..\Run: [RAM Idle Professional] C:\Programme\RAM Idle LE\RAM_XP.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Configuration Utility.lnk = C:\Programme\MA311 PCI Adapter Configuration Utility\wlanutil.exe
O4 - Global Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: (no name) - {F2570A0D-001D-477D-93D1-D05EF5EB95CD} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096486410671
O17 - HKLM\System\CCS\Services\Tcpip\..\{1F8818FC-2F2A-4003-84AF-46948FDBB3A6}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB6244F2-D98E-43CC-B472-7DF3D02EBC83}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F10B4E30-711C-42E2-BDD4-7E71D93A1AFB}: NameServer = 192.168.0.1

...so, scan lief durch, aber antivir hat diesen virus/trojaner nicht gefunden. jetzt sind die profis gefragt :-)

gruß,
nils

Naja musst ja eigentlich nur das Temp-Verzeichnis leeren:
C:\Dokumente und Einstellungen\nils\Lokale Einstellungen\Temp

Ansonsten:

Hier Escan runterladen->updaten wie beschrieben
Nach dem Updaten mit Kavupd.exe befinden sich die neuen Signaturen entwder in c:\downloads oder im Temp-Verzeichnis des jeweiligen Users:

Beispiel-Temp-Verzeichnis:
x:\Dokumente und Einstellungen\_Username_\Lokale Einstellungen\Temp\Kav Updater update Files

(x: = Laufwerksbuchstabe wo das Betriebsystem installiert ist, _Username_ = Profilname des jeweiligen Users)

Die Files müssen dann aus dem Ordner wo die neuen Signaturen liegen nach c:\bases kopiert werden.

Danach Offline gehn->Systemwiederherstellung deaktivieren(ME/XP)

Temp-Ordner + Temporäre Internetfiles leeren und wenn Java-Sun installiert ist, den Java-Cache.

Dann in den abgesicherten-Modus booten(siehe Systemwiederherstellung deaktivieren) -> Escan starten (doppelklick mwavscan.com in c:\bases)

Folgende Einstellungen Auswählen in Escan:
Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und Scan All Files und das System damit scannen(Scan Clean).

Danach ganz normal booten und Systemwiederherstellung wieder aktivieren.

Gruß

hallo,
wahnsinn, ich bin ja echt begeistert, der Plagegeist ist verschwunden, zumindest läßt er sich nicht mehr im temp Ordner blicken und auch Antivir meldet nichts mehr.

Ganz ganz lieben Dank und ein schönes We!
Nils