hallo erstmal,

ich kenn mich nicht so aus mit dem teil , aber ich sollte bevor ich rum spame das hier posten ;-)

Logfile of HijackThis v1.98.2
Scan saved at 15:36:39, on 29.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Fadi\LOKALE~1\Temp\Rar$EX00.723\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ihngflfhrskzcfnde.com/edQ...FsBF2gJO/.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.oubvdlecnwigdsgytxvero.co...tLGEsGc1G8.jsp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: (no name) - {A85573A9-62D3-BEA0-6FAE-21445773195F} - C:\DOKUME~1\Fadi\ANWEND~1\CASTRE~1\polltitle.exe
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\wdlvl.exe
O4 - HKLM\..\Run: [Windows Compliant] fvpcca.exe
O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [gluedumbobjloud] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LessHoldGlueDumb\safe fork.exe
O4 - HKLM\..\RunServices: [Windows Compliant] fvpcca.exe
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Compliant] fvpcca.exe
O4 - HKCU\..\Run: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [DEBUG CAKE] C:\DOKUME~1\Fadi\ANWEND~1\WAVEFL~1\Bone Jugs Program.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101521405333
O17 - HKLM\System\CCS\Services\Tcpip\..\{F46B39D6-3CC4-42F9-93BC-95DEE314FA49}: NameServer = 217.237.150.141 217.237.150.97




kann mir einer weiter helfen?biddö

Folgende Datein bitte mit diesem Onlinescan überprüfen und das Ergebnis hier rein posten:
C:\WINDOWS\System32\wdlvl.exe
fvpcca.exe bitte mit der Windowssuche suchen, damit du den Pfad herausbekommst
wvsvc.exe bitte mit der Windowssuche suchen, damit du den Pfad herausbekommst
(in der Suche auch Systemordner u. versteckte Elemente durchsuchen)
außerdem:
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
Bereite dich schonmal darauf vor.

hmm hab das hier benutzt :http://www.hijackthis.de/index.php

und sollte diese fixen aber ich weiß nie wie....sorry wegen doppel-post



O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll

O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"

O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\wdlvl.exe

O4 - HKLM\..\Run: [Windows Compliant] fvpcca.exe

O4 - HKLM\..\Run: [Starting up] wvsvc.exe

O4 - HKLM\..\Run: [gluedumbobjloud] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LessHoldGlueDumb\safe fork.exe

O4 - HKLM\..\RunServices: [Windows Compliant] fvpcca.exe

O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe

O4 - HKCU\..\Run: [Windows Compliant] fvpcca.exe

O4 - HKCU\..\Run: [DEBUG CAKE] C:\DOKUME~1\Fadi\ANWEND~1\WAVEFL~1\Bone Jugs Program.exe

Bite überprüfe die Datein bei dem von mir genannten Onlinescan. Sind wahrscheinlich Backdoors, ich will aber sich gehen. Die automatische Auswertung hat Fehler.

haui45 wie genau lasse ich es von der seite durchsuchen?die dateien?

Du folgst meinem Link. Ganz oben ist dann ein Feld, da klickst du auf "Durchsuchen", wählst die zu überprüfende Datei aus (immer nur eine *g*) und klickst dann auf "Submit". Etwas weiter unten siehst du dann das Ergebnis.

also:

fvpcca.exe
wvsvc.exe


keine virus und status ok ;-)


bei C:\WINDOWS\System32\wdlvl.exe

hab ich die datei nicht gefunden....komisch oder

hmm

also bei der datei

C:\DOKUME~1\Fadi\ANWEND~1\WAVEFL~1\Bone Jugs Program.exe

INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)

also fand fehler ich suche noch weiter ;-)

brauchst du nur das wenn es was findet oder alles?
wie zb


AntiVir No viruses found (0.17 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender Trojan.RhmTox.A (0.82 seconds taken)
ClamAV No viruses found (0.37 seconds taken)
Dr.Web Trojan.Swizzor (1.56 seconds taken)
F-Prot Antivirus No viruses found (0.37 seconds taken)
Kaspersky Anti-Virus not-a-virus:AdWare.Lop.e (1.99 seconds taken)
mks_vir Win32.4 (probable variant) (0.71 seconds taken)
NOD32 No viruses found (2.04 seconds taken)
Norman Virus Control No viruses found (2.44 seconds taken)


?´

aha der nexte

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LessHoldGlueDumb\safe fork.exe


INFECTED/MALWARE

also ich hab alles durch suchen lassn , sind nur die 2 daten sind nicht ok , wie kann man die fixen oder muss ich die manuel löschen?

1.) lässt du dir, wie von mir gepostet alle Dateien anzeigen?
2.) ganz sicher, dass die Dateien in Ordnung sind, ich kanns mir eigentlich nicht vorstellen

also wie gesagt,
fvpcca.exe
wvsvc.exe

hab die beiden bei suche , suchen lassn und dann bei der seite suchen lassen und alles ok


nur die 2 dateien waren nicht ok

C:\DOKUME~1\Fadi\ANWEND~1\WAVEFL~1\Bone Jugs Program.exe

und


C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LessHoldGlueDumb\safe fork.exe

und denn
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"

hab ich manuel gelöscht...


ps:wenn ich eine datei suchen lasse, muss ich auch die Statistics beachten ? und hier posten?

OK, scanne mal mit eScan im abgesicherten Modus und poste was gefunden wurde!!!

hmm irgendwie hattest du recht , hier sind se :



File C:\DOKUME~1\Fadi\ANWEND~1\CASTRE~1\polltitle.exe infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.
File c:\dokume~1\fadi\lokale~1\temp\anudxbdu.exe tagged as not-a-virus:AdWare.Lop.e. No Action Taken.
File C:\DOKUME~1\Fadi\ANWEND~1\CASTRE~1\polltitle.exe infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\wvsvc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\ALLUSE~1\ANWEND~1\LESSHO~1\SAFEFO~1.EXE infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\fvpcca.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\wvsvc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\fvpcca.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\wvsvc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Fadi\ANWEND~1\WAVEFL~1\BONEJU~1.EXE tagged as not-a-virus:AdWare.Lop.e. No Action Taken.
File C:\WINDOWS\system32\fvpcca.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\wvsvc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\fvpcca.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\uqbczv.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\winole.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\wvsvc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Fadi\LOKALE~1\Temp\anudxbdu.exe tagged as not-a-virus:AdWare.Lop.e. No Action Taken.
File C:\DOKUME~1\Fadi\LOKALE~1\Temp\gbzxdkuk.exe tagged as not-a-virus:AdWare.Lop.e. No Action Taken.
File C:\DOKUME~1\Fadi\LOKALE~1\Temp\vxknhoxf.exe tagged as not-a-virus:AdWare.Lop.e. No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LessHoldGlueDumb\safe fork.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Fadi\Anwendungsdaten\CastRealPeak\polltitle.exe infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Fadi\Anwendungsdaten\wave flag long\Bone Jugs Program.exe tagged as not-a-virus:AdWare.Lop.e. No Action Taken.
File C:\Dokumente und Einstellungen\Fadi\Anwendungsdaten\wave flag long\cjmcfgfv.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Fadi\Anwendungsdaten\wave flag long\frag road 1 iso.exe infected by "Trojan-Downloader.Win32.Swizzor.cc" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Fadi\Anwendungsdaten\wave flag long\Play sign global.exe infected by "TrojanDownloader.Win32.Swizzor.cb" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Fadi\Eigene Dateien\Meine empfangenen Dateien\Kusu.exe infected by "not-virus:Hoax.Win32.ComputerSchock" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Fadi\Lokale Einstellungen\Temp\anudxbdu.exe tagged as not-a-virus:AdWare.Lop.e. No Action Taken.
File C:\Dokumente und Einstellungen\Fadi\Lokale Einstellungen\Temp\gbzxdkuk.exe tagged as not-a-virus:AdWare.Lop.e. No Action Taken.
File C:\Dokumente und Einstellungen\Fadi\Lokale Einstellungen\Temp\vxknhoxf.exe tagged as not-a-virus:AdWare.Lop.e. No Action Taken.
File C:\Programme\C2Media\Setup.exe infected by "Trojan-Downloader.Win32.Swizzor.cg" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\15C918DA.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\15ED66B2.exe infected by "Worm.Win32.Padobot.gen" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\16145E87.exe infected by "Worm.Win32.Padobot.gen" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\401758DB.exe infected by "Trojan.Win32.LowZones.d" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\401B02D7.exe infected by "Trojan.Win32.LowZones.d" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\4542452B.exe infected by "Trojan.Win32.LowZones.d" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\7CD26965.exe infected by "Trojan.Win32.LowZones.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\fvpcca.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\uqbczv.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\winole.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\wvsvc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

@haui45 was muss ich jetzt machen ? wie kann ich die löschen?

Hab ichs mir doch gedacht.
Bei der Menge an Backdoors gibts nur eine vernünftige Lösung: formatieren und neu aufsetzen.
btw. die von mir zur Überprüfung empfohlenen Dateien sind genau das, was ich vermutet habe. Halte dich beim formatieren bitte an die verlinkte Anleitung.
bitte ebenfalls lesen: http://www.mathematik.uni-marburg.de...ompromise.html
Da sieht man mal wieder was Norton taugt, die Masse ist nicht im Quarantäneverzeichnis!!! (das aber nur als kleine Anmerkung)