Riesenproblem...

ITR2744 · 12.01.2005, 19:49

Wenn ich Windows starte kommt neuerdings ein Fenster: "Gemeinsame Nutzung...windows/explorer.exe versucht Internetzugriff zu ändern..." AntiVir Guard meldet, dass etliche Trojaner drauf sind. Lösch sie dann jeweils, aber nach jedem Neustart sind sie wieder da... auch wenn ich sie im abgesicherten Modus lösche (inkl. allen Temp. files) kommen sie immer wieder

Scanne dann jeweils mit E-Scan und lösche dann die gefundenen Dateien (7) aber die kommen sind dann immer noch da wenn ich ind en normalen Modus wechsle... hab anbei noch die Logs vom HiJacker und AntiVir... Wie bring ich die Dinger weg? (Verstehe von PC's echt nicht allzuviel

Logfile of HijackThis v1.99.0
Scan saved at 19:34:13, on 12.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\PurgeIE\PurgeIE_Service.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Compaq\EAB\EabServr.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\notepad.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\DAVEFR~1\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rwi.unizh.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.searchv.com/w/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchv.com/w/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/r...search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchv.com/w/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchv.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchv.com/w/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchv.com/w/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/w/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchv.com/w/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchv.com/w/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://searchmyrequest.com/hp.php
O1 - Hosts: 209.66.114.130 sitefinder.verisign.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [Cpqset] c:\compaq\cpqsetup\cpqset.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: winupdate62863990[1].exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/06baae22...dxIE601_de.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/SSC/Shar.../bin/cabsa.cab
O21 - SSODL: MSSQLMonitor - {20570DCA-442B-4055-9353-0E665A913CD9} - C:\WINDOWS\System32\iuendycl.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Norton Internet Security Service - Symantec Corporation - C:\Programme\Norton Internet Security\NISSERV.EXE
O23 - Service: Norton Internet Security Accounts Manager - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: PurgeIE XP Service - Assistance & Resources for Computing, Inc. - C:\Programme\PurgeIE\PurgeIE_Service.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Internet Security Proxy Service - Symantec Corporation - C:\Programme\Norton Internet Security\SymProxySvc.exe

AntiVir Log:
12.01.2005,17:24:29 [INIT] AntiVirService Version: 6.29.00.03 AVE Version 6.29.0.5 VDF Version: 6.29.0.59
12.01.2005,17:24:29 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
12.01.2005,17:24:33 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.OC!
C:\DOKUMENTE UND EINSTELLUNGEN\DAVE FREI\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\8H0XYB8T\D[1].EXE
12.01.2005,17:24:58 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.OC!
C:\WINDOWS\D.EXE
12.01.2005,17:25:25 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.OC!
C:\DOKUMENTE UND EINSTELLUNGEN\DAVE FREI\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\8H0XYB8T\D[1].EXE
12.01.2005,17:25:26 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.OC!
C:\WINDOWS\D.EXE
12.01.2005,17:25:20 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Inapsol.1!
C:\DOKUME~1\DAVEFR~1\LOKALE~1\TEMP\TMP5.TMP
12.01.2005,17:34:19 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.OC!
C:\DOKUME~1\DAVEFR~1\LOKALE~1\TEMPOR~1\CONTENT.IE5\8H0XYB8T\D[1].EXE
12.01.2005,17:49:31 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.OC!
C:\DOKUMENTE UND EINSTELLUNGEN\DAVE FREI\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\8H0XYB8T\D[1].EXE
12.01.2005,18:11:04 [INFO] Stop Filter Device.
12.01.2005,18:11:06 [EXIT] Der AVGuard Dienst wurde beendet!

Chris14 · 12.01.2005, 19:59

ich sehe da den Troj/Tofger-AW drauf.
also führe das aus:

1.escan
-lade dir escan runter und gehe genau nach dieser anleitung vor

2.einträge löschen
-fixe mit HijackThis diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rwi.unizh.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.searchv.com/w/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchv.com/w/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/...=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchv.com/w/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchv.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchv.com/w/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchv.com/w/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/w/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchv.com/w/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchv.com/w/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://searchmyrequest.com/hp.php
O1 - Hosts: 209.66.114.130 sitefinder.verisign.com
O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe
O4 - Startup: winupdate62863990[1].exe
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab
O21 - SSODL: MSSQLMonitor - {20570DCA-442B-4055-9353-0E665A913CD9} - C:\WINDOWS\System32\iuendycl.dll

3.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues HijackThis log

ITR2744 · 12.01.2005, 20:03

schonmal vielen dank!! Also du meinst ich soll 1. im abgesicherten Modus mit eschan suchen? 2. was meinst du mit löschen bzw. fixen mit den von dir aufgelisteten Einträgen??

Chris14 · 12.01.2005, 20:04

ähm fixen heißt reinigen.
damit meine ich, vor die einträge die ich genannt habe in HijackThis einen haken zu machen und dann auf fix it zu klicken. und jep das hast du richtig verstanden. escan im abgesicherten modus suchen lassen und bis zu 3.ergebnis findet alles im abgesicherten modus statt.

chaosman · 12.01.2005, 20:06

@ITR2744
fixen mit HJT
http://www.trojaner-board.de/51130-a...ijackthis.html
chaosman

ITR2744 · 12.01.2005, 20:10

Ah Ok... werds mal ausprobieren! Sollte ich noch die Systemwiederherstellung deaktivieren bevor ich in den abgesicherten Mod gehe?? Bis später...

Chris14 · 12.01.2005, 20:11

nicht zwingend notwendig. das geht auch ohne deaktivierung der systemwiederherstellung.

ITR2744 · 12.01.2005, 20:48

So das wären die Einträge aus mwav.log:

Wed Jan 12 20:24:40 2005 => File C:\WINDOWS\dltime.dll infected by "Trojan-Spy.Win32.KeyLogger.cf" Virus. Action Taken: No Action Taken.

Wed Jan 12 20:24:24 2005 => File C:\DOKUME~1\DAVEFR~1\LOKALE~1\Temp\tmp5.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.

Wed Jan 12 20:24:24 2005 => File C:\DOKUME~1\DAVEFR~1\LOKALE~1\Temp\tmp3.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.

Wed Jan 12 20:21:10 2005 => File C:\WINDOWS\dltime.dll infected by "Trojan-Spy.Win32.KeyLogger.cf" Virus. Action Taken: No Action Taken.

Wed Jan 12 20:20:51 2005 => File C:\WINDOWS\svchost.exe infected by "Trojan-Downloader.Win32.Small.acd" Virus. Action Taken: No Action Taken.

und das wäre das Log aus HiJacker:

Logfile of HijackThis v1.99.0
Scan saved at 20:49:23, on 12.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\PurgeIE\PurgeIE_Service.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Compaq\EAB\EabServr.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Dokumente und Einstellungen\Dave Frei\Startmenü\Programme\Autostart\winupdate62863990[1].exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\svchost.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\DAVEFR~1\LOKALE~1\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [Cpqset] c:\compaq\cpqsetup\cpqset.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: winupdate62863990[1].exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/06baae22...dxIE601_de.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/SSC/Shar.../bin/cabsa.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Norton Internet Security Service - Symantec Corporation - C:\Programme\Norton Internet Security\NISSERV.EXE
O23 - Service: Norton Internet Security Accounts Manager - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: PurgeIE XP Service - Assistance & Resources for Computing, Inc. - C:\Programme\PurgeIE\PurgeIE_Service.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Internet Security Proxy Service - Symantec Corporation - C:\Programme\Norton Internet Security\SymProxySvc.exe

Chris14 · 12.01.2005, 20:56

oh.. ein trojaner-keylogger.. es verlangt zwar nicht neuzuinstallieren aber der keylogger sollte so schnell wie möglich gelöscht werden.

-also lade dir mal clearprog runter
-installiere es
-gehe in den abgesicherten modus
-öffne das programm, mach einen haken bei alles löschen hin
-klicke auf löschen

dann geh noch in den ordner c:\windows und lösche dort dltime.dll und svchost.exe.

anschließend gehe noch in den ordner c:\dokumente und einstellungen\dave Frei\Startmenü\Autostart und lösche dort die datei winupdate628639 90[1].exe

falls die dateien nicht angezeigt werden:
-klick auf extras, dann auf ordneroptionen
-klick auf ansicht
-geschützte systemdateien ausblenden haken weg
-inhalte von systemdateien anzeigen haken hin
-alle dateien und ordner anzeigen selektieren

fixe auchnoch diese restlichen einträge:
O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe
O4 - Startup: winupdate62863990[1].exe
starte in den normalen modus.
poste aber zur sicherheit nochmal einen HijackThis log.

ITR2744 · 12.01.2005, 20:59

Bin schon dabei... Wäre froh wenn du noch ein bisschen online sein könntest, stelle das Log von Hijack nacheher gleich ins Forum! Vielen Dank!!!!

Chris14 · 12.01.2005, 21:00

jep bin noch n bissal on.

ITR2744 · 12.01.2005, 21:15

So, das wär das LOG! Aber der Eintrag 04 - Startuzp: winupdate628....exe war im hijack nicht mehr vorhanden! Konnte nur den ersteren fixen...

Logfile of HijackThis v1.99.0
Scan saved at 21:10:24, on 12.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\DAVEFR~1\LOKALE~1\Temp\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rwi.unizh.ch/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [Cpqset] c:\compaq\cpqsetup\cpqset.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/06baae22...dxIE601_de.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/SSC/Shar.../bin/cabsa.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Norton Internet Security Service - Symantec Corporation - C:\Programme\Norton Internet Security\NISSERV.EXE
O23 - Service: Norton Internet Security Accounts Manager - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: PurgeIE XP Service - Assistance & Resources for Computing, Inc. - C:\Programme\PurgeIE\PurgeIE_Service.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Internet Security Proxy Service - Symantec Corporation - C:\Programme\Norton Internet Security\SymProxySvc.exe

Chris14 · 12.01.2005, 21:21

schön. das log ist sauber.
da fällt mir nurnoch dass ein:

-benutze einen anderen browser wie firefox oder opera
-lade dir das Windows XP Service Pack 2 runter und installiere es

Riesenproblem...

Plagegeister aller Art und deren Bekämpfung: Riesenproblem...

Riesenproblem...

Riesenproblem...

Riesenproblem...

Riesenproblem...

Riesenproblem...

Riesenproblem...

Riesenproblem...

Riesenproblem...

Riesenproblem...

Riesenproblem...

Riesenproblem...

Riesenproblem...

Riesenproblem...

Ähnliche Themen: Riesenproblem...

12.01.2005, 20:03	#3
ITR2744	Riesenproblem... schonmal vielen dank!! Also du meinst ich soll 1. im abgesicherten Modus mit eschan suchen? 2. was meinst du mit löschen bzw. fixen mit den von dir aufgelisteten Einträgen?? __________________

12.01.2005, 20:04	#4
Chris14	Riesenproblem... ähm fixen heißt reinigen. damit meine ich, vor die einträge die ich genannt habe in HijackThis einen haken zu machen und dann auf fix it zu klicken. und jep das hast du richtig verstanden. escan im abgesicherten modus suchen lassen und bis zu 3.ergebnis findet alles im abgesicherten modus statt.

12.01.2005, 20:06	#5
chaosman	Riesenproblem... @ITR2744 fixen mit HJT http://www.trojaner-board.de/51130-a...ijackthis.html chaosman __________________ Bonus vir semper tiro

12.01.2005, 20:10	#6
ITR2744	Riesenproblem... Ah Ok... werds mal ausprobieren! Sollte ich noch die Systemwiederherstellung deaktivieren bevor ich in den abgesicherten Mod gehe?? Bis später...

12.01.2005, 20:11	#7
Chris14	Riesenproblem... nicht zwingend notwendig. das geht auch ohne deaktivierung der systemwiederherstellung.

12.01.2005, 20:59	#10
ITR2744	Riesenproblem... Bin schon dabei... Wäre froh wenn du noch ein bisschen online sein könntest, stelle das Log von Hijack nacheher gleich ins Forum! Vielen Dank!!!!

12.01.2005, 21:00	#11
Chris14	Riesenproblem... jep bin noch n bissal on.

12.01.2005, 21:21	#13
Chris14	Riesenproblem... schön. das log ist sauber. da fällt mir nurnoch dass ein: -benutze einen anderen browser wie firefox oder opera -lade dir das Windows XP Service Pack 2 runter und installiere es