Hi!

Habe diese Site empfohlen bekommen da ich Problem habe.
Wurde von Buldog-Search befallen und bekomme es nicht weg, egal was ich im Moment tue.

Mein Logfile:
Logfile of HijackThis v1.98.2
Scan saved at 12:44:36, on 13.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\windnsd.exe
C:\WINDOWS\System32\IEXPLORE.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
C:\WINDOWS\System32\cdaccess.exe
C:\WINDOWS\System32\svxhost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\WINDOWS\System32\msgrsv32.exe
C:\Programme\Mozilla1.7.3\mozilla.exe
C:\DOKUME~1\Nick\LOKALE~1\Temp\mshtm.exe
C:\Programme\HighjackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.buldog-search.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.buldog-search.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O1 - Hosts: 69.50.188.82 google.com
O1 - Hosts: 69.50.188.82 altavista.com
O1 - Hosts: 69.50.188.82 www.altavista.com
O1 - Hosts: 69.50.188.82 msn.com
O1 - Hosts: 69.50.188.82 www.msn.com
O1 - Hosts: 69.50.188.82 search.msn.com
O1 - Hosts: 69.50.188.82 search.yahoo.com
O1 - Hosts: 69.50.188.82 yahoo.com
O1 - Hosts: 69.50.188.82 www.yahoo.com
O1 - Hosts: 69.50.188.82 search.aol.com
O1 - Hosts: 69.50.188.82 askjeeves.com
O1 - Hosts: 69.50.188.82 www.askjeeves.com
O1 - Hosts: 69.50.188.82 www.directhit.com
O1 - Hosts: 69.50.188.82 directhit.com
O1 - Hosts: 69.50.188.82 www.excite.com
O1 - Hosts: 69.50.188.82 excite.com
O1 - Hosts: 69.50.188.82 alltheweb.com
O1 - Hosts: 69.50.188.82 www.alltheweb.com
O1 - Hosts: 69.50.188.82 go.com
O1 - Hosts: 69.50.188.82 www.go.com
O1 - Hosts: 69.50.188.82 goto.com
O1 - Hosts: 69.50.188.82 www.goto.com
O1 - Hosts: 69.50.188.82 hotbot.com
O1 - Hosts: 69.50.188.82 www.hotbot.com
O1 - Hosts: 69.50.188.82 lycos.com
O1 - Hosts: 69.50.188.82 www.lycos.com
O1 - Hosts: 69.50.188.82 dmoz.org
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {E529731B-B9FC-E022-8E8D-E4ABAA7505C5} - C:\WINDOWS\System32\daj.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\bjwjvesh.exe
O4 - HKLM\..\Run: [Auto CD-ROM Startup] cdaccess.exe
O4 - HKLM\..\Run: [Microsoft Office] svxhost.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Windows DNS Daemon] windnsd.exe
O4 - HKLM\..\Run: [svshost32] C:\WINDOWS\System32\msgrsv32.exe
O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
O4 - HKLM\..\RunServices: [Windows DNS Daemon] windnsd.exe
O4 - HKLM\..\RunServices: [Microsoft IE] IEXPLORE.EXE
O4 - HKLM\..\RunServices: [Microsoft Office] svxhost.exe
O4 - HKLM\..\RunServices: [Auto CD-ROM Startup] cdaccess.exe
O4 - HKLM\..\RunOnce: [Windows DNS Daemon] windnsd.exe
O4 - HKLM\..\RunOnce: [Microsoft IE] IEXPLORE.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Auto CD-ROM Startup] cdaccess.exe
O4 - HKCU\..\Run: [Microsoft Office] svxhost.exe
O4 - HKCU\..\Run: [Windows DNS Daemon] windnsd.exe
O4 - HKCU\..\Run: [Microsoft IE] IEXPLORE.EXE
O4 - HKCU\..\Run: [MSAgent] C:\DOKUME~1\Nick\LOKALE~1\Temp\mshtm.exe
O4 - HKCU\..\RunOnce: [Windows DNS Daemon] windnsd.exe
O4 - HKCU\..\RunOnce: [Microsoft IE] IEXPLORE.EXE
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A9D3B57-6AC7-43ED-8CCC-09E3B7C5AC22}: NameServer = 217.9.42.98 217.9.47.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{2A9D3B57-6AC7-43ED-8CCC-09E3B7C5AC22}: NameServer = 217.9.42.98 217.9.47.254

lt. dieser site:
http://www.bleepingcomputer.com/foru...=0&#entry31450
mus man diverse Dinge löschen, hab ich getan aber ich werds nicht los.
Systemwiederherstellung ist aktiviert, diese dämliche mshtm.exe gelöscht, die oberen beiden Zeilen mit HijackThis gelöscht sowie der mshtm-Eintrag, das Main-verzeichnis in der Registry gelöscht und sowohl AntiVir als auchTrojanHunter drübergejagt.

Wenn ich den Rechner dann reboote, versucht immer irgendein Programm, eine Internetverbindung zu öffnen, diese geht dann sofort auf buldog-search oder eine andere Site und lädt die mshtm wieder runter sowie versucht eine real.exe und eine winlogons.exe zu laden(wird aber von antivir verhindert)

Hat noch irgendjemand ne Idee wie dem beizukommen ist?

Danke sehr im voraus
Nick

@QuickNick
du hast mehrere ungute sachen im system
C:\WINDOWS\System32\windnsd.exe
C:\WINDOWS\System32\cdaccess.exe
C:\WINDOWS\System32\svxhost.exe
C:\WINDOWS\System32\windnsd.exe
allein die letzte zwei reichen schon aus um dir das neu aufsetzen vom system zu empfehlen
http://uk.trendmicro-europe.com/ente...BOT.AS&VSect=T
http://www.sophos.de/virusinfo/analyses/w32rbotct.html
dein system ist wahrscheinlich schon kompromittiert,hier infos
eine der ursachen
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
system und IE nicht auf dem neuesten stand
hier ein paar tips zum neu aufsetzen
http://www.trojaner-board.de/showpos...28&postcount=2

chaosman

Danke!

Das war zwar nicht gerade die erhoffte, aber die befürchtete Antwort. Die Links haben mir bei der Neueinrichtung des Systems sehr geholfen, insofern nchmal vielen Dank für die kompetente und schnelle Hilfe!

mfg
Nick