HiJackThis log auswerten bitte!!!

Kuchen · 18.01.2005, 21:22

also ich hab auch das problem mit der startseite hab mir HijackThis besorgt und da is folgendes rausgekommen....

Logfile of HijackThis v1.99.0
Scan saved at 21:21:39, on 18.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Sony\vaio media music server\SSSvr.exe
C:\Programme\sony\photo server 20\appsrv\PicAppSrv.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Guard.exe
C:\WINDOWS\winhost.exe
C:\WINDOWS\winhost.exe
C:\WINDOWS\winhost.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Microsoft Works\WksSb.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\com452.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Lukas Gromzik\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://more-pages.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mcicdb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mcicdb.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchdom.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mcicdb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://24-7-search.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchdom.net/?re=
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchdom.net/?re=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mcicdb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [rhuhjt] C:\WINDOWS\System32\vphpwd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [sim452] C:\WINDOWS\com452.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MSUpdSrv] msupdsrv.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0
O4 - HKCU\..\Run: [GCS] "C:\Programme\GrabClipSave\GrabClipSave.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = ?
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_9028.dll' missing
O13 - DefaultPrefix: http://www.searchdom.net/?re=
O13 - WWW Prefix: http://www.searchdom.net/?re=
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://217.73.66.1/minidialler/mddl/...90_dmvdmv_.exe
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.browserplugin.com/plugin/...ss_special.ocx
O16 - DPF: {FF0C042C-98E9-4C36-B2EC-E21FDFDCEF75} (InstallCtl Class) - http://download.redswoosh.net/Instal...sinstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B608E89-F8D9-4344-B2A2-C8A1FCA2B69C}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{A13EB28A-4A1B-44CA-8D36-AA174D2F4590}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{B977A53D-4BD1-4817-84F9-3263D4EC42EB}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{F16228DA-C04A-4A8E-AAD8-5637C71EE3BC}: NameServer = 69.50.188.180,195.225.176.31
O21 - SSODL: eplrr - {9D0F0181-2757-4B06-A23F-5D1E12EC6406} - C:\WINDOWS\System32\eplrr3.dll (file missing)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: KLBLMain - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (Omega 1.6177) (Q) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: VAIO Media Music Server (Application) - Sony Corporation - C:\Programme\Sony\vaio media music server\SSSvr.exe
O23 - Service: VAIO Media Music Server (HTTP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe
O23 - Service: VAIO Media Music Server (UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server (Application) - Unknown - C:\Programme\sony\photo server 20\appsrv\PicAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
O23 - Service: VAIO Media Photo Server (UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe

Ich hab nicht viel ahnung von sowas also bitte ich euch nötige schritte zu erklären

THX im voraus Kuchen

Cidre · 18.01.2005, 23:50

Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Kuchen · 19.01.2005, 17:43

File C:\WINDOWS\Guard.exe infected by "Trojan.Win32.Delf.ha" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\winhost.exe infected by "Trojan.Win32.Delf.hf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\com452.exe infected by "Trojan-Downloader.Win32.Small.afs" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Guard.exe infected by "Trojan.Win32.Delf.ha" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\winhost.exe infected by "Trojan.Win32.Delf.hf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\com452.exe infected by "Trojan-Downloader.Win32.Small.afs" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ml-cleanup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\msxmidi.exe infected by "TrojanDownloader.Win32.Apher.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\mxTarget.dll infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\preInsMt.exe infected by "not-a-virus:AdWare.BiSpy.q" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\preInsTT.exe infected by "not-a-virus:AdWare.BiSpy.f" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\zaebalinah.exe infected by "TrojanDownloader.Win32.Apher.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\keveb.dll12 infected by "Trojan-Downloader.Win32.Agent.gl" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\zolijii.dll infected by "Trojan-Downloader.Win32.Agent.gl" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\alchem.cab infected by "TrojanDownloader.Win32.Alchemic" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\bar.exe infected by "not-a-virus:AdWare.ToolBar.IeSearchBar" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\ncmyb.dll infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\sexymen.exe infected by "TrojanDownloader.Win32.Agent.au" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI1814.tmp\mxTarget.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI1814.tmp\mxTarget.dll infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI1814.tmp\preInsMt.exe infected by "not-a-virus:AdWare.BiSpy.q" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI1A66.tmp\mxTarget.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI1A66.tmp\mxTarget.dll infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI1A66.tmp\preInsMt.exe infected by "not-a-virus:AdWare.BiSpy.q" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI256A.tmp\mxTarget.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI256A.tmp\mxTarget.dll infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI256A.tmp\preInsMt.exe infected by "not-a-virus:AdWare.BiSpy.q" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI2D5A.tmp\mxTarget.cab infected by "not-a-virus:AdWare.BiSpy.p" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI2D5A.tmp\mxTarget.dll infected by "not-a-virus:AdWare.BiSpy.p" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI2D5A.tmp\preInsMt.exe infected by "not-a-virus:AdWare.BiSpy.q" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI3392.tmp\mxTarget.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI3392.tmp\mxTarget.dll infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI3392.tmp\preInsMt.exe infected by "not-a-virus:AdWare.BiSpy.q" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI3BD8.tmp\preInsTT.exe infected by "not-a-virus:AdWare.BiSpy.f" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI3BD8.tmp\twaintec.cab infected by "not-a-virus:AdWare.BiSpy.o" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI3BD8.tmp\twaintec.dll infected by "not-a-virus:AdWare.BiSpy.o" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI46B1.tmp\mxTarget.cab infected by "not-a-virus:AdWare.BiSpy.p" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI46B1.tmp\mxTarget.dll infected by "not-a-virus:AdWare.BiSpy.p" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI46B1.tmp\preInsMt.exe infected by "not-a-virus:AdWare.BiSpy.q" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI4DBA.tmp\mxTarget.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI4DBA.tmp\mxTarget.dll infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI4DBA.tmp\preInsMt.exe infected by "not-a-virus:AdWare.BiSpy.q" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI5377.tmp\mxTarget.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI5377.tmp\mxTarget.dll infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI5377.tmp\preInsMt.exe infected by "not-a-virus:AdWare.BiSpy.q" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI56E6.tmp\mxTarget.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI56E6.tmp\mxTarget.dll infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI56E6.tmp\preInsMt.exe infected by "not-a-virus:AdWare.BiSpy.q" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI5ACF.tmp\mxTarget.cab infected by "not-a-virus:AdWare.BiSpy.p" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI5ACF.tmp\mxTarget.dll infected by "not-a-virus:AdWare.BiSpy.p" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI5ACF.tmp\preInsMt.exe infected by "not-a-virus:AdWare.BiSpy.q" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI9EE.tmp\mxTarget.cab infected by "not-a-virus:AdWare.BiSpy.p" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI9EE.tmp\mxTarget.dll infected by "not-a-virus:AdWare.BiSpy.p" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THI9EE.tmp\preInsMt.exe infected by "not-a-virus:AdWare.BiSpy.q" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THIC1F.tmp\mxTarget.cab infected by "not-a-virus:AdWare.BiSpy.p" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THIC1F.tmp\mxTarget.dll infected by "not-a-virus:AdWare.BiSpy.p" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\LUKASG~1\LOKALE~1\Temp\THIC1F.tmp\preInsMt.exe infected by "not-a-virus:AdWare.BiSpy.q" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Lukas Gromzik\Eigene Dateien\girc432.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
File C:\Dokumente und Einstellungen\Lukas Gromzik\Eigene Dateien\mirc616.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
File C:\Dokumente und Einstellungen\Lukas Gromzik\Lokale Einstellungen\Temp\alchem.cab infected by "TrojanDownloader.Win32.Alchemic" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Lukas Gromzik\Lokale Einstellungen\Temp\bar.exe infected by "not-a-virus:AdWare.ToolBar.IeSearchBar" Virus. Action Taken: No Action Taken.

ok das sind se aber was soll ich damit jetzt machen? könnt ihr mir erklären (bitte für dumme da ich nicht viel ahnung von sowas habe) wie ich diese dateien gelöscht kriege

Kuchen · 19.01.2005, 21:41

warum antwortet keiner?

Cidre · 19.01.2005, 22:17

Das hat nichts mit deiner Person zu tun.
Einige Regulars beschäftigen sich mit einem sinnfreien Thread .

Lösche nun die Malware im abgesicherten Modus mit Hilfe von Killbox und Clearprog(Temp Dateien).

Fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

Alle R0 und R1
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [rhuhjt] C:\WINDOWS\System32\vphpwd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [sim452] C:\WINDOWS\com452.exe
O4 - HKLM\..\Run: [MSUpdSrv] msupdsrv.exe

Ebenso löschen:
Ordner C:\Program Files\WindowsSA
C:\WINDOWS\System32\vphpwd.exe
C:\WINDOWS\com452.exe
msupdsrv.exe
C:\WINDOWS\Downloaded Program Files\bridge.dll

- neue Startseite vergeben
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HijackThis posten

Kuchen · 20.01.2005, 15:49

Logfile of HijackThis v1.99.0
Scan saved at 15:48:04, on 20.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Sony\vaio media music server\SSSvr.exe
C:\Programme\sony\photo server 20\appsrv\PicAppSrv.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Guard.exe
C:\WINDOWS\winhost.exe
C:\WINDOWS\winhost.exe
C:\WINDOWS\winhost.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Microsoft Works\WksSb.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\programme\valve\steam\steam.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Lukas Gromzik\Eigene Dateien\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = ?
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_9028.dll' missing
O13 - DefaultPrefix: http://%77%77%77%2E%73%65%61%72%63%6...%6E%65%74/?re=
O13 - WWW Prefix: http://%77%77%77%2E%73%65%61%72%63%6...%6E%65%74/?re=
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {FF0C042C-98E9-4C36-B2EC-E21FDFDCEF75} (InstallCtl Class) - http://download.redswoosh.net/Instal...sinstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B608E89-F8D9-4344-B2A2-C8A1FCA2B69C}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{B977A53D-4BD1-4817-84F9-3263D4EC42EB}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{F16228DA-C04A-4A8E-AAD8-5637C71EE3BC}: NameServer = 69.50.188.180,195.225.176.31
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (Omega 1.6177) (Q) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: VAIO Media Music Server (Application) - Sony Corporation - C:\Programme\Sony\vaio media music server\SSSvr.exe
O23 - Service: VAIO Media Music Server (HTTP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe
O23 - Service: VAIO Media Music Server (UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server (Application) - Unknown - C:\Programme\sony\photo server 20\appsrv\PicAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
O23 - Service: VAIO Media Photo Server (UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe

immer wenn ich neu scanne dann kommt 1-3 R0 oder R1 dateien hinzu und zwar die die mich ständig auf search.com oder so bringen.... bin echt verzweifelt was soll ich tun?

Kuchen · 21.01.2005, 17:29

ich hab mit ner inetseite das HijackThis ausgewertet aber der hijacker is immer noch da!! was soll ich tun????

Chris14 · 21.01.2005, 17:40

ok..

1.escan
-lade dir lspfix runter
-lade dir escan runter und gehe genau nach dieser anleitung vor

2.einträge löschen
-fixe mit HijackThis diese einträge:
O10 - Broken Internet access because of LSP provider 'xfire_lsp_9028.dll' missing
O13 - DefaultPrefix: http://%77%77%77%2E%73%65%61%72%63%...6E%65%7 4/?re=
O13 - WWW Prefix: http://%77%77%77%2E%73%65%61%72%63%...6E%65%7 4/?re=
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {FF0C042C-98E9-4C36-B2EC-E21FDFDCEF75} (InstallCtl Class) - http://download.redswoosh.net/Insta...rsinstaller.cab
-führe lspfix aus, mach nen haken bei "i know what i doing" hin,
schiesse xfire_lsp_9028.dll zu remove, klicke auf finish

3.dateien löschen
-lösche die datei winhost.exe im ordner c:\windows
-lösche natürlich auch alle von escan beanstandeten dateien (alle infected)
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues HijackThis log

achja das ganze sieht mir nach malware aus, der kam auf deinen rechner weil du kein sp2 installiert hast. lade es dir dort runter (auch wenn da steht das es für it-spezialisten is.)

HerrKautz · 21.01.2005, 17:42

Sorry das ich mich einmenge,aber wieso macht ihr euch bei dem verseuchten System so eine Mühe

http://www.sophos.de/virusinfo/analy...2agobotgs.html

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

Haui45 · 21.01.2005, 17:45

@HerrKautz
Das ist harmlos, gehört zu Winamp...

HerrKautz · 21.01.2005, 17:48

Zitat:

Zitat von Haui45

@HerrKautz
Das ist harmlos, gehört zu Winamp...

mmh OK habs gerade ergoogelt,und der escan sagt des auch net...wieder was gelernt.

Aber das System ist trotzdem zu sehr zugemüllt,....meine Meinung...ich wollte nicht mehr dran sitzen,aber ok

Haui45 · 21.01.2005, 17:49

Zitat:

Zitat von HerrKautz

Aber das System ist trotzdem zu sehr zugemüllt,....meine Meinung...ich wollte nicht mehr dran sitzen,aber ok

Ich auch nicht

Chris14 · 21.01.2005, 17:52

@herrkautz ach wenn man danach geht, müsste jeder benutzer der mal nen download-trojaner hatte neuinstallieren.
und so sehr durchgesucht ist der nun auch nicht (außer winhost.exe ist das was ich denke..) ^^
obwohl es doch schlecht sein kann, denn bei winhost.exe bin ich mir net sicher ob das net das ist was ich glaube dass es ist.

HerrKautz · 21.01.2005, 17:57

Zitat:

Zitat von Chris14

@herrkautz ach wenn man danach geht, müsste jeder benutzer der mal nen download-trojaner hatte neuinstallieren.

Mittlerweile bin ich der Meinung,dass es das Beste ist,bin die letzten Tage,insbesondere auch was so auf den PC´s meiner Bekannten läuft,darin bestätigt worden....

Gut,ob ich es hier jetzt empfehle ist eine andere Sache,bei meinen Freunden sicher schon!

Chris14 · 21.01.2005, 18:02

ich weiß schon.. sicher ist man bei solchen entfernungen nie (auch wenn es nur ein download-trojaner is, weiß man doch nie was er wirklich alles so "neues, unerkanntes" gedownloadet hat). er hat aber auch nicht danach gefragt: "wie wird mein system das sicherste von allen" sondern "wie krieg ich den trojaner weg" das war meine antwort darauf.
naja ich handle bei einem trojaner ja schon anders. ich persönlich formatiere meine festplatte eh gleich, wenn ich nen trojaner auf der festplatte finde.
aber ich glaube nicht dass der jetzt lust hat, neuzuinstallieren (ausgenommen bei backdoor trojaner, da sag ich nurnoch neuinstallieren)

18.01.2005, 23:50	#2
Cidre Administrator, a.D.	HiJackThis log auswerten bitte!!! Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben. Poste anschliessend die Virus Log Information von eScan AntiVirus: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. __________________ __________________

HiJackThis log auswerten bitte!!!

Log-Analyse und Auswertung: HiJackThis log auswerten bitte!!!