Hilfe zu Lefeat

Oscar · 20.01.2005, 07:33

Ich hoffe es erbarmt sich wer. Habe mit gestern diesen nervtöteneden Trojaner eingefangen. Würde ihn gerne ohne Format C: loswerden.

Logfile of HijackThis v1.99.0
Scan saved at 07:27:33, on 20.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
F:\Norton Ghost 2003\GhostStartService.exe
F:\norton\NORTON~1\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
F:\norton\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\PTBSync\PTBSync.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\KNC ONE\TV-Station\TonCtrl.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\WINDOWS\system32\qttask.exe
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan LTX\update.exe
C:\Programme\ACE Mega CoDecS Pack\Media Player Classic\RealPlay.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
F:\klickTel Juli 2002\KSTART32.EXE
C:\WINDOWS\twain_32\S6U12BX\WATCH.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\mIRC\mirc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
I:\eMule\emule.exe
F:\slot\hijackthis199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mmyqs.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mmyqs.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\mmyqs.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mmyqs.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mmyqs.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mmyqs.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mmyqs.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {0564CD8E-EBCD-B7D0-7C3A-991550B659AC} - C:\WINDOWS\system32\netaw32.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {F4788321-72E2-9572-C624-AD1B091A0144} - C:\WINDOWS\system32\netaw32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] F:\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [KNC-TonCtrl] C:\Programme\KNC ONE\TV-Station\TonCtrl.EXE /A
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\PINNAC~1\PPE\PPE.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [Update 2100C] C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan LTX\update.exe 2100C+
O4 - HKLM\..\Run: [RealTray] C:\Programme\ACE Mega CoDecS Pack\Media Player Classic\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [sdkou.exe] C:\WINDOWS\system32\sdkou.exe
O4 - HKLM\..\Run: [4ED.tmp] C:\DOKUME~1\Oscar\LOKALE~1\Temp\4ED.tmp.exe 3 28129
O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\System32\tibs3.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [appij.exe] C:\WINDOWS\appij.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\RunOnce: [mszw32.exe] C:\WINDOWS\mszw32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: StarOffice 7.lnk = F:\StarOffice7\program\quickstart.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: klickTel Juli 2002 - Schnellstarter.lnk = F:\klickTel Juli 2002\KSTART32.EXE
O4 - Global Startup: Microsoft Office.lnk = F:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PlexTools Professional.lnk = C:\Programme\Plextor\PlexTool.exe
O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\S6U12BX\WATCH.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: GhostStartService - Symantec Corporation - F:\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - F:\norton\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Atomuhr Synchronisation - ElmüSoft - C:\Programme\PTBSync\PTBSync.exe
O23 - Service: Speed Disk service - Symantec Corporation - F:\norton\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: Network Security Service (NSS) - Unknown - C:\WINDOWS\system32\apiii.exe (file missing)

Welche Zeilen müssen im abgesicherten Modus mit deaktivierter Systemwiederherstellung rausgenommen werden und reicht das dann?

mfg Oscar

MountainKing · 20.01.2005, 09:11

E-Scan herunterladen und updaten:

http://www.trojaner-board.de/42731-escan-anleitung.html

Systemwiederherstellung deaktivieren, in den abgesicherten Modus booten:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm

Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mmyqs.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mmyqs.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\mmyqs.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mmyqs.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mmyqs.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mmyqs.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mmyqs.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {0564CD8E-EBCD-B7D0-7C3A-991550B659AC} - C:\WINDOWS\system32\netaw32.dll
O2 - BHO: (no name) - {F4788321-72E2-9572-C624-AD1B091A0144} - C:\WINDOWS\system32\netaw32.dll
O4 - HKLM\..\Run: [sdkou.exe] C:\WINDOWS\system32\sdkou.exe
O4 - HKLM\..\Run: [4ED.tmp] C:\DOKUME~1\Oscar\LOKALE~1\Temp\4ED.tmp.exe 3 28129
O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\System32\tibs3.exe
O4 - HKLM\..\Run: [appij.exe] C:\WINDOWS\appij.exe
O4 - HKLM\..\RunOnce: [mszw32.exe] C:\WINDOWS\mszw32.exe
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)
O23 - Service: Network Security Service (NSS) - Unknown - C:\WINDOWS\system32\apiii.exe (file missing)

Lösche die in den Einträgen genannten Dateien, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge.

Sollten die Einträge in der Trusted-Zone bleiben, lies dir bitte Lutz´Tips durch:

http://www.trojaner-board.de/showpos...6&postcount=31

Oscar · 20.01.2005, 14:01

erstmal thx mountenking, dass du dich erbarmt hast. bin auf diese seite gekommen ohne 100 andere wegklicken zu müssen. nachfolgend das log. das log von e-scan sprengt hier wahrscheinlich den Rahmen. 335 viren wurden gefunden. wenn ich das ganze log hier reinkopiere, dann hast morgen muskelkater vom scrollen. ich lass das nachher nochmals durchlaufen, es waren viele in c:\recycelt\nprotect. ich habe norten erstamal gesagt, dass er den paierkorb nicht mehr schützen soll. (hoffe das war richtig)

Logfile of HijackThis v1.99.0
Scan saved at 13:51:54, on 20.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
F:\Norton Ghost 2003\GhostStartService.exe
F:\norton\NORTON~1\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
F:\norton\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\PTBSync\PTBSync.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\KNC ONE\TV-Station\TonCtrl.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\WINDOWS\system32\qttask.exe
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan LTX\update.exe
C:\Programme\ACE Mega CoDecS Pack\Media Player Classic\RealPlay.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
F:\klickTel Juli 2002\KSTART32.EXE
C:\WINDOWS\twain_32\S6U12BX\WATCH.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
F:\slot\hijackthis199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fireball.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] F:\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [KNC-TonCtrl] C:\Programme\KNC ONE\TV-Station\TonCtrl.EXE /A
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\PINNAC~1\PPE\PPE.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [Update 2100C] C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan LTX\update.exe 2100C+
O4 - HKLM\..\Run: [RealTray] C:\Programme\ACE Mega CoDecS Pack\Media Player Classic\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: StarOffice 7.lnk = F:\StarOffice7\program\quickstart.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: klickTel Juli 2002 - Schnellstarter.lnk = F:\klickTel Juli 2002\KSTART32.EXE
O4 - Global Startup: Microsoft Office.lnk = F:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PlexTools Professional.lnk = C:\Programme\Plextor\PlexTool.exe
O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\S6U12BX\WATCH.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: GhostStartService - Symantec Corporation - F:\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - F:\norton\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Atomuhr Synchronisation - ElmüSoft - C:\Programme\PTBSync\PTBSync.exe
O23 - Service: Speed Disk service - Symantec Corporation - F:\norton\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

der browser kommt mir nun normal vor. Allerdings weiss ich nicht ob nicht doch noch irgendwo der Anschiss lauert.

mfg oscar

Oscar · 20.01.2005, 15:36

so ich bin wieder ein glücklicher mensch. es funktioniert alles. die viren haben sich im 2. durchlauf nachdem die nortenprotection deaktiviert war auf 9 viren reduziert, die hab ich dann zu fuss halt gelöscht. Das macht jetzt wieder einen stabilen Eindruck. Ich danke nochmals recht herzlich für deine Hilfe.

mfg oscar

Shadowdance · 21.01.2005, 08:53

@ Oscar

Zitat:

Zitat von Oscar

das log von e-scan sprengt hier wahrscheinlich den Rahmen. 335 viren wurden gefunden. [..] auf 9 viren reduziert

Ohne Kenntnis der Namen der Viren, können wir Dich nicht beraten. Wenn Du Sicherheit haben möchtest, ob Dein System noch vertrauenswürdig ist, müsstest Du die Namen der Viren posten: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Nicht alle Viren lassen sich durch Löschen so beseitigen, dass ein System noch als vertrauenswürdig eingestuft werden kann. Zur Lektüre: Entfernung von Schädlingen und Kompromittierung unvermeidbar?

Oscar · 22.01.2005, 11:54

So dann poste ich hier mal was e-scan immer noch findet:

File C:\WINDOWS\system32\netaw32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Thu Jan 20 10:03:54 2005 => File C:\WINDOWS\System32\mmyqs.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.
Thu Jan 20 10:18:36 2005 => File C:\Program Files\Windows ServeAd\WinAtServ.dll infected by "not-a-virus:AdWare.WinAD.i" Virus. Action Taken: No Action Taken.
Thu Jan 20 10:22:12 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Thu Jan 20 10:22:12 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\EBVZB.DLL.VIR
Thu Jan 20 10:22:12 2005 => File C:\Programme\AVPersonal\INFECTED\EBVZB.DLL.VIR infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.

Thu Jan 20 10:22:12 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\SDKJT32.EXE.VIR
Thu Jan 20 10:22:12 2005 => File C:\Programme\AVPersonal\INFECTED\SDKJT32.EXE.VIR infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.
hu Jan 20 10:30:32 2005 => File C:\RECYCLER\NPROTECT\00065245.EXE infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Thu Jan 20 10:31:53 2005 => File C:\WINDOWS\Downloaded Program Files\WinServAdX.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.
Thu Jan 20 10:45:09 2005 => File C:\WINDOWS\system32\mmyqs.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.

So diesen Mist hat e-scan noch gefunden. Allerdings benimmt sich der Browser normal. Wär natürlich nett, wenn ich das auch noch wegbekommen würde.

mfg oscar

HerrKautz · 22.01.2005, 12:11

Jan 20 10:30:32 2005 => File C:\RECYCLER\NPROTECT\00065245.EXE infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.

Das bedeutet,das du dein System neu aufsetzen mußt,geh genau nach der Anleitung von Cidre vor: http://trojaner-board.de/showthread.php?t=12154

Gruss

Rene-gad · 22.01.2005, 12:17

Zitat:

Zitat von HerrKautz

Jan 20 10:30:32 2005 => File C:\RECYCLER\NPROTECT\00065245.EXE infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.

Papierkorb leeren, danach noch mal scannen

Zitat:

Das bedeutet,das du dein System neu aufsetzen mußt,geh genau nach der Anleitung von Cidre vor: http://trojaner-board.de/showthread.php?t=12154

Das ist ist jedenfalls zu empfehlen, denn Backdoors sind oft unmöglich zu entfernen.

Oscar · 23.01.2005, 01:06

der papierkorb ist leer. system neu aufsetzen ist gut ist nen haufen arbeit. was macht das ding denn? stören tuts im moment nicht, jedenfalls nicht auffällig. ich bin ja nicht beim kgb.

ist zwar nen bisserl von arbeit drauf, dass möcht ich schon nicht verlieren, sind aber keine staatsgeheimnisse. mit "musst dein system neu machen" hast mich schon getroffen bin der gattung faultier eher zuzuordnen.

mfg oscar

Rene-gad · 23.01.2005, 10:47

Hallo Oskar

Zitat:

der papierkorb ist leer.

C:\RECYCLER\NPROTECT\00065245.EXE - ist doch der Pfad zum Papierkorb.

Zitat:

system neu aufsetzen ist gut ist nen haufen arbeit.

Zitat:

was macht das ding denn?

Backdoor, wie aus dem Namen ersichtlich ist, macht in deinem PC ein kleines Hintertürchen offen. Durch das ist dein PC leicht angreifbar.

Zitat:

stören tuts im moment nicht, jedenfalls nicht auffällig.

Bei einem gut geschriebenen Backdoor-Programm es ist typisch

Zitat:

ich bin ja nicht beim kgb.

Wer weiss...

.

Zitat:

ist zwar nen bisserl von arbeit drauf, dass möcht ich schon nicht verlieren, sind aber keine staatsgeheimnisse.

Es reicht, wenn Hacker deine privaten Passwörter ausspioniert unt aus deinem PC eine Wurmschleuder bastelt. In dem Fall stellt dein Rechner eine gewisse Gefahr für alle Internet-Benutzer. So zu handeln ist fahrlässig und man muss mit den Konsequenzen rechnen. Es ist vergleichbar, wenn amn mit einem Auto ohne Bremsen und Beleuchtung mitte in der Nacht unterwegs ist.

Zitat:

mit "musst dein system neu machen" hast mich schon getroffen bin der gattung faultier eher zuzuordnen.

Dann tu uns bitte ein Gefallen und sei so konsequent faul, dass du mit dem (ehemals) deinen PC nicht mehr ins Netz kommst.

Oscar · 23.01.2005, 19:13

oki,

hast mich überzeugt. mache das nach eurer anleitung neu.

mfg oscar

und vielen dank an alle.

Rene-gad · 23.01.2005, 19:25

Zitat:

Zitat von Oscar

hast mich überzeugt. mache das nach eurer anleitung neu.

Ist eine extrem weise Entscheidung

Hilfe zu Lefeat

Log-Analyse und Auswertung: Hilfe zu Lefeat

Hilfe zu Lefeat

Hilfe zu Lefeat

Hilfe zu Lefeat

Hilfe zu Lefeat

Hilfe zu Lefeat

Hilfe zu Lefeat

Hilfe zu Lefeat

Hilfe zu Lefeat

Hilfe zu Lefeat

Hilfe zu Lefeat

Hilfe zu Lefeat

Hilfe zu Lefeat

Ähnliche Themen: Hilfe zu Lefeat

20.01.2005, 15:36	#4
Oscar	Hilfe zu Lefeat so ich bin wieder ein glücklicher mensch. es funktioniert alles. die viren haben sich im 2. durchlauf nachdem die nortenprotection deaktiviert war auf 9 viren reduziert, die hab ich dann zu fuss halt gelöscht. Das macht jetzt wieder einen stabilen Eindruck. Ich danke nochmals recht herzlich für deine Hilfe. mfg oscar

22.01.2005, 12:11	#7
HerrKautz	Hilfe zu Lefeat Jan 20 10:30:32 2005 => File C:\RECYCLER\NPROTECT\00065245.EXE infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken. Das bedeutet,das du dein System neu aufsetzen mußt,geh genau nach der Anleitung von Cidre vor: http://trojaner-board.de/showthread.php?t=12154 Gruss

23.01.2005, 19:13	#11
Oscar	Hilfe zu Lefeat oki, hast mich überzeugt. mache das nach eurer anleitung neu. mfg oscar und vielen dank an alle.