Hi erst ma,
hab jetz auch den Virus, Trojaner oder was es auch sonst ist BDS/Agent.AY auf meinm pc gefunden.
und weiß daher seit ca 45 min das es hijack gibt
ich hab jetz ma dieses... oder heißt dat diesen... na egal, logfile erstellt (?)
und nehme ma an oder hoffe dass ihr damit mehr anfangen könnt als ich

wie ihr wahrscheinlich meiner preziesen wortwahl und ausdrucksweiße entnommen habt bin ich blutiger anfänger

währ also total nett wenn ihr mir helfen könntet
slexy

so und hier ist.... man ich weiß noch nich ma ob dat "der" oder "das" logfile ("Die schließe ich instinktiv aus ^^ )heißt ... auf jedenfall ist das da unten, wenn das richtige überhaupt das ist -.-


Logfile of HijackThis v1.99.0
Scan saved at 18:10:40, on 06.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE
C:\PROGRAMME\COMMONNAME\TOOLBAR\WINNET.EXE
C:\PROGRAMME\SOTVRP\TUWQOV.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\PRECISIONTIME\PRECISIONTIME.EXE
C:\WINDOWS\GUARD.EXE
C:\PROGRAMME\SOTVRP\VOQWUT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE
D:\SMARTSURFER\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\UNZIPPED\HIJACKTHIS199\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://smartsurfer.web.de/Download
F1 - win.ini: run=hpfsched
O2 - BHO: F1 Organizer Class - {00000EF1-34E3-4633-87C6-1AA7A44296DA} - C:\WINDOWS\SYSTEM\MPZ300.DLL
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - C:\PROGRAMME\COMMONNAME\TOOLBAR\CNBABE.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [winnet] C:\PROGRA~1\COMMON~1\TOOLBAR\WINNET.EXE
O4 - HKLM\..\Run: [eQpGVwEx] C:\PROGRA~1\SOTVRP\TUWQOV.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Startup: ISDN Guard.lnk = C:\WINDOWS\GUARD.EXE
O8 - Extra context menu item: Bookmark This Page - C:\Programme\CommonName\Toolbar\createbookmark.htm
O8 - Extra context menu item: Add A Page Note - C:\Programme\CommonName\Toolbar\createnote.htm
O8 - Extra context menu item: Email This Link - C:\Programme\CommonName\Toolbar\emaillink.htm
O8 - Extra context menu item: Search using CommonName - C:\Programme\CommonName\Toolbar\navigate.htm
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Backward Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate into English - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmtrans.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O11 - Options group: [CommonName] CommonName
O18 - Protocol hijack: cn - {9346A6BB-1ED0-4174-AFB4-13CD4EC0AA40}

gefixt werden sollte:
F1 - win.ini: run=hpfsched
O2 - BHO: F1 Organizer Class - {00000EF1-34E3-4633-87C6-1AA7A44296DA} - C:\WINDOWS\SYSTEM\MPZ300.DLL
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - C:\PROGRAMME\COMMONNAME\TOOLBAR\CNBABE.DLL
O4 - HKLM\..\Run: [winnet] C:\PROGRA~1\COMMON~1\TOOLBAR\WINNET.EXE
O4 - HKLM\..\Run: [eQpGVwEx] C:\PROGRA~1\SOTVRP\TUWQOV.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: Bookmark This Page - C:\Programme\CommonName\Toolbar\createbookmark.htm
O8 - Extra context menu item: Add A Page Note - C:\Programme\CommonName\Toolbar\createnote.htm
O8 - Extra context menu item: Email This Link - C:\Programme\CommonName\Toolbar\emaillink.htm
O8 - Extra context menu item: Search using CommonName - C:\Programme\CommonName\Toolbar\navigate.htm
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O11 - Options group: [CommonName] CommonName
O18 - Protocol hijack: cn - {9346A6BB-1ED0-4174-AFB4-13CD4EC0AA40}
zum glück kein virus sondern nur hijacking und spyware
achja aber man weiß ja nie
also escan von http://www.mwti.net/antivirus/free_utilities.asp runterladen.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

ACHTUNG!
Bevor du die Einträge fixed, solltest du unter Systemsteuerung -> Software -> New.net oder Newdotnet deinstallieren.
Ansonsten kannst du keine Internet Verbindung mehr aufbauen!

Scanne anschliessend mit Spybot S&D dein System.
Ebenso sollte die Dateien bzw. Ordner entfernt werden!

Das sollte nicht gefixed werden:
F1 - win.ini: run=hpfsched

@ Chris
btw:
Einen echten Virus hab ich schon lange nicht mehr gesehen.

Es ist auch nicht immer wichtig, der erste zu sein der das Log-File auswertet.
Die Auswertung sollte genauestens erfolgen und ebenso sollte alles in einem Aufwasch erledigt werden.
Nicht erstmal fixen, dann beim nächsten Post löschen usw.
In dieser Zeit wird die Malware schon wieder aktiv!

echt? ich hab heute schonwieder einen durch google nette links sogar aufm system gehabt.. (nya den virus hab ich ja unter 10minuten wieder vom system gehabt) nya hab hald zum browsen einmal den IE benutzt,nachdem ich bei windowsupdate war

Du weisst was ein Virus ist?

Trojaner und Würmer sind nicht dasselbe, umgangssprachlich wird das Wort aber falsch benutzt.

ach fehler in der sprache. ich meine trojaner und wurm. ich nehm nur den sammelbegriff dazu. fachlich ausgedrückt sagt man nicht virus sondern trojaner oder wurm. ich verwende es hald als sammelbegriff.

@ chris

am Rande ne kleine Info zu folgendem Eintrag

F1 - win.ini: run=hpfsched

findeste hier

OK, danke erstma

aber:

Zitat:

Zitat von Cidre

Scanne anschliessend mit Spybot S&D dein System.

dieses Programm spybot S&D öffnet sich zwar aber wenn ich dann auf "Desinfizieren" gehe kommt die Fehlermeldung

Fehler beim Abschliessen der Bereinigung. Weitere Infos im Log-File
Programm wird beendet
und

Zitat:

Ebenso sollte die Dateien bzw. Ordner entfernt werden!

und welche Dateien oder Ordner? welche die durch spybot gefunden worden wären?

hm.. hab da net nachgeschaut was des is sondern einfach mal intuitiv gesagt das is irgendwas unnützes.

Wenn dir @ Chris14 es beschrieben hätte, dann bräuchte ich es nicht erklären.

Wichtig:
Alles Aktivitäten im abgesicherten Modus ausführen!

Diese Dateien löschen:
Ordner C:\Programme\NewDotNet
Ordner C:\PROGRAMME\COMMONNAME\TOOLBAR
C:\WINDOWS\SYSTEM\MPZ300.DLL
und zusätzlich die von eScan beanstandeten Dateien

achja. ich hab bereits aufgehört darauf zu antworten. du hast ja "übernommen". sonst, jep die ordner mit dateien gehören im abgesicherten modus entfernt.und jep ich sollte mir wohl mal zeit geben das log auszuwerten. (hab mal n bissal was übersprungen wie dieser eintrag in der win.ini). hast mich hald ausm konzept gebracht^^
aber trotzdem thx. dem new.net bin ich noch net begegnet, deswegen dieser anfängerfehler