okay geupdated. nun...

ja ich hab grad nochmal alle maschienen drüber laufen lassen. leider immer noch nix neues. meine 3 kandidaten sind leider nicht weg...

Scanning File C:\WINDOWS\System32\notepad.com
Thu Nov 25 12:43:23 2004 => File C:\WINDOWS\System32\notepad.com infected by "TrojanDropper.Win32.Small.lx" Virus. Action Taken: No Action Taken.

Scanning File C:\WINDOWS\System\MSMSGSVC.exe
Thu Nov 25 12:41:45 2004 => File C:\WINDOWS\System\MSMSGSVC.exe infected by "TrojanDropper.Win32.Small.lx" Virus. Action Taken: No Action Taken.

der letzte ist irgendwie 2 mal aufgeführt.
p.s. wenn mein internet explorer erst beim 2. oder 3. mal eine verbindung kriegt (dsl) liegt das eher an den gelöschten daten von hijack this oder an den trojanern, die nicht wissen, welche startseite jetzt dran ist. die startseite wechselt nämlich dauernd....

was ein schlamssel. danke für eure geduld.

hallo bamby

kannst du ein aktuelles HijackThis logfile hier posten, bitte

Logfile of HijackThis v1.98.2
Scan saved at 18:31:33, on 25.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System\MSMSGSVC.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
D:\Programme\Kazaa Lite\clean.kmd
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Shareaza\Shareaza.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\D. Harald Alke\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101339301618



gruß!

hallo bambi

was ist mit dem windows-update?
warum läuft HijackThis noch immer in einem temp-unterordner?

hier dein logfile automatisch ausgewertet

HijackThis starten, config wählen und hier misc-tool, hier wählst du
delete a file on rebbot diese datei aus --> C:\WINDOWS\System\MSMSGSVC.exe, neustart --> HijackThis starten und alle bösen einträge (aus dem Logfile) fixen.
Dann ein neues Logfile erstellen und wieder hier posten

also das windows update meinte ich schon gestern gemacht zu haben.

die weiteren anweisungen sind jetzt auch ausgeführt.

e scan gibt mir noch eine meldung:
Thu Nov 25 20:31:07 2004 => File C:\WINDOWS\System32\notepad.com infected by "TrojanDropper.Win32.Small.lx" Virus. Action Taken: No Action Taken.

und hijack this hat folgendes log:
Logfile of HijackThis v1.98.2
Scan saved at 20:41:58, on 25.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Shareaza\Shareaza.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\HIjack This\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101339301618



lassen sich denn die dateien, die ich mit hijack gekillt habe rekonstruieren? bzw. soll ich die von e scan erkannte datei löschen...?
danke schön

Hi bambi,
Du hast immer noch SP 1 drauf. Wahrscheinlich hast du dir für SP 2 nur den Installer runtergeladen - jetzt heißt es ausführen; und das dauert...
Also, bis dann.

cacatoa

Nachtrag:
War das letzte Dein ganzes Logfile?
Warum willst du böse Sachen rekonstruieren?
Die von eScan erkannte Datei im abgesicherten Modus bei deaktivierter Systemwiederherstellung löschen, dann neu booten. Systemwiederherstellung wieder aktivieren.
cacatoa

mein logfile ist so klein, weil ich bei der ersten hijack-verwendung alles gelöscht habe, was vor mir stand. zimelich dumm ich weiß -jetzt.

nun denn. ich werde nochmal im abgesicherten modus alles versuchen zu löschen, was da unten noch an "bösen" sachen steht.

grüße

Ich weiß nicht ob´s funktioniert, versuch mal eine Systemwiederherstellung zu einem früheren Zeitpunkt. Schau, was dabei wieder kommt.