Ich hab ein großes Problem (bzw nicht ich sondern ein Freund)
er hat auf seinem PC anscheinend sehr viel spyware, was soweit führt das es sogar schon als "Hintergrund" erscheint...

Hier sein Hintergrund, der von irgendwelcher Spyware gemacht wurde...

Weiß jemand was das ist?
Hijack.Log folgt gleich

wow! eine "you have malware" malware der sich selbst erkannt hat^^
das kommt doch gleich in meinen "windows-nachahmungs" ordner.

ich wette zu 30% das da malware aktiv is, die anzeigt, dass sie selbst böse is.

aber ok ich warte aufs log..

Logfile of HijackThis v1.99.0
Scan saved at 16:32:38, on 29.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\systime.exe
C:\WINDOWS\System32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43}\SVCHOST.EXE
F:\SpyFighter\SpyFighterScanner.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\systime.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43}\SVCHOST.EXE
O4 - HKLM\..\Run: [explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\Run: [SpyFighterMonitor] "F:\SpyFighter\SpyFighterScanner.exe" monitor
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 213.159.117.202
O15 - Trusted IP range: 213.159.117.202 (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3AAA1DA-5D88-499C-A6F5-0D03D6E4B184}: NameServer = 195.195.100.1,195.3.96.67
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



escan log auch von Nöten?

oh..
ein rapidblaster, ein W32/Cone-F, diverse trojan-downloader..
der bluescreen hatte recht (ironischerweise)
dann führe mal das aus:
1.escan
-lade dir escan runter und gehe genau nach dieser anleitung vor

2.einträge löschen
-fixe mit HijackThis diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43}\SVCHOST.EXE
O4 - HKLM\..\Run: [explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 213.159.117.202
O15 - Trusted IP range: 213.159.117.202 (HKLM)

-mach auch das was dort steht um die O15-Einträge zu löschen.

3.dateien löschen
-lösche die dateien systime.exe, explorer.exe und spoolsrv32.exe im ordner c:\windows\system32
-lösche die datei SVCHOST.EXE im ordner C:\WINDOWS\System32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43}
-lösche natürlich auch alle von escan beanstandeten dateien (alle infected)
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues HijackThis log

frage eines dritten:
was ist eigentlich die datei svchost.exe??? und der generic host process for win32 services???

der generic host process for win32 services ist wie schon der englische name sagt, der hauptprozess für die anderen dienste.
svchost.exe ist sozusagen ein "sammeldienst" für zb. den taskplaner,RPC-Server,ras-verbindungsverwaltung, Intelligenter Hintegrundübertragungsdienst usw.
ohne den svchost.exe wären in der prozessliste nicht 10programme zu finden, sondern 20 bis 25.

File C:\WINDOWS\System32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43}\SVCHOST.DLL infected by "Trojan-Clicker.WinTraces of "CodeRed" found and cleaned !!!

es ist nur dieser zu sehen im Virus.Log Feld allerdings zeigt er 57 gefundene an und als ich vorher mal reingeschaut habe, waren viel mehr zu sehen...

Wo finde ich die?

ein codered-virus.. bei dem musst du keine sorge haben, der infiziert nur php und html dateien und macht sie ggf. unbrauchbar.
zu dem log:
stehen im escanlog mehrere mit infected?
kopiere alle infected gefundenen dateien von escan vom log hierher und poste sie.

Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006719.exe infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006720.exe infected by "Trojan.Win32.LowZones.y" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006721.exe infected by "Trojan-Downloader.Win32.Small.agy" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006722.exe infected by "Trojan.Win32.Favadd.c" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006723.exe infected by "Trojan-Downloader.Win32.Dyfuca.dk" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006724.exe infected by "Trojan-Downloader.Win32.Lookme.g" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006725.exe infected by "Trojan-Dropper.Win32.Small.oy" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006726.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006727.exe infected by "Trojan.Win32.Dialer.ff" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006728.exe infected by "Trojan-Downloader.Win32.Small.ahg" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:11:07 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006737.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:11:19 2005 => File C:\WINDOWS\Downloaded Program Files\load.exe infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:17:00 2005 => File C:\WINDOWS\system32\dktibs.exe infected by "TrojanDownloader.Win32.Delf.dc" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:18:58 2005 => File C:\WINDOWS\system32\drivers\etc\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:20:13 2005 => File C:\WINDOWS\system32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43}\SVCHOST.DLL infected by "Trojan-Clicker.Win32.Agent.bw" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:20:20 2005 => File C:\WINDOWS\system32\srpcsrv32.dll infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:20:24 2005 => File C:\WINDOWS\system32\tnsdrv32.exe infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:20:25 2005 => File C:\WINDOWS\system32\txfdb32.dll infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:45:28 2005 => File C:\WINDOWS\System32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43}\SVCHOST.DLL infected by "Trojan-Clicker.Win32.Agent.bw" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:45:28 2005 => File C:\WINDOWS\System32\systime.exe infected by "Trojan.Win32.StartPage.pu" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:45:28 2005 => File C:\WINDOWS\System32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43}\SVCHOST.EXE infected by "Trojan-Clicker.Win32.Agent.bw" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:45:40 2005 => File C:\WINDOWS\system32\Explorer.exe infected by "Trojan-Downloader.Win32.Small.aho" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:45:41 2005 => File C:\WINDOWS\System32\systime.exe infected by "Trojan.Win32.StartPage.pu" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:45:41 2005 => File C:\WINDOWS\System32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43}\SVCHOST.EXE infected by "Trojan-Clicker.Win32.Agent.bw" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:45:42 2005 => File C:\WINDOWS\System32\spoolsrv32.exe infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:45:52 2005 => File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.

Sat Jan 29 16:46:13 2005 => File C:\WINDOWS\System32\dktibs.exe infected by "TrojanDownloader.Win32.Delf.dc" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:47:18 2005 => File C:\WINDOWS\System32\srpcsrv32.dll infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:47:22 2005 => File C:\WINDOWS\System32\tnsdrv32.exe infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:47:23 2005 => File C:\WINDOWS\System32\txfdb32.dll infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:47:44 2005 => File C:\DOKUME~1\Hannes\LOKALE~1\Temp\i3E.tmp infected by "not-a-virus:AdWare.SurfSide.a" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:47:44 2005 => File C:\DOKUME~1\Hannes\LOKALE~1\Temp\i40.tmp infected by "not-a-virus:AdWare.SurfSide.a" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:47:49 2005 => File C:\DOKUME~1\Hannes\LOKALE~1\Temp\Temporary Internet Files\Content.IE5\85Y7CDEF\124493[1].exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:47:57 2005 => File C:\124493.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:51:56 2005 => File C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Temp\i3E.tmp infected by "not-a-virus:AdWare.SurfSide.a" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:51:56 2005 => File C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Temp\i40.tmp infected by "not-a-virus:AdWare.SurfSide.a" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:52:01 2005 => File C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\85Y7CDEF\124493[1].exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:52:18 2005 => File C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\V63SVF31\rdgAT10[1].exe infected by "Trojan.Win32.Dialer.ay" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:52:28 2005 => File C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VHHBHTIZ\rdgAT10[1].exe infected by "Trojan.Win32.Dialer.ay" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:09:46 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP60\A0004110.exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:09:46 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP60\A0004110.exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:09:59 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP68\A0004190.exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:11:04 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006690.exe infected by "Trojan-Dropper.Win32.Small.oy" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:11:04 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006693.exe infected by "Trojan-Downloader.Win32.Monurl.gen" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:11:04 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006694.exe infected by "Backdoor.Win32.Padodor.al" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:11:04 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006694.exe infected by "Backdoor.Win32.Padodor.al" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:11:04 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006696.exe infected by "Backdoor.Thunk.d" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:11:04 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006700.exe infected by "Trojan.Win32.Dialer.ff" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:11:05 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006708.exe infected by "Trojan.Win32.LowZones.y" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:11:05 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006709.exe infected by "Trojan-Downloader.Win32.Small.agy" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:05 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006710.exe infected by "Trojan.Win32.Favadd.c" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:05 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006711.exe infected by "Trojan-Downloader.Win32.Dyfuca.dk" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:05 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006712.exe infected by "Trojan-Downloader.Win32.Lookme.g" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006715.exe infected by "Trojan.Win32.Dialer.ff" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006717.EXE infected by "Trojan-Dropper.Win32.SurfSide.a" Virus. Action Taken: No Action Taken.

Antworte bitte mit "Alles löschen außer" - Danke )

Das System ist total verseucht (auch diveres Backdoortrojaner).
Um wieder einen vertrauenswürdigen Zustand herzustellen sollte das System neu aufgesetzt werden.
Wenn du nicht ausschließlich mit DSL ins Netz gehst, die Dialer bitte zur Beweissicherung auf Diskette speichern.

-mach auch das was dort steht um die O15-Einträge zu löschen.

bis dahin habe ich jetzt alles gemacht - das neue logfile nachdem ich die 015 Einträge mit diesem DelDomains gelöscht habe ist:

Logfile of HijackThis v1.99.0
Scan saved at 18:20:03, on 29.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
F:\SpyFighter\SpyFighterScanner.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SpyFighterMonitor] "F:\SpyFighter\SpyFighterScanner.exe" monitor
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3AAA1DA-5D88-499C-A6F5-0D03D6E4B184}: NameServer = 195.195.100.1,195.3.96.67
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

so jetzt lösche ich alle "infected" dateien und diese die ihr mir auch angesagt habe

Zitat:

so jetzt lösche ich alle "infected" dateien und diese die ihr mir auch angesagt habe

Das kannst du dir schenken....

@Frogga
die dialer auf diskette sichern zwecks beweismittel
Sat Jan 29 16:47:49 2005 => File C:\DOKUME~1\Hannes\LOKALE~1\Temp\Temporary Internet Files\Content.IE5\85Y7CDEF\124493[1].exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.
Sat Jan 29 17:09:46 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP60\A0004110.exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.
Sat Jan 29 17:09:46 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP60\A0004110.exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.
Sat Jan 29 17:09:59 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP68\A0004190.exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.
Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006715.exe infected by "Trojan.Win32.Dialer.ff" Virus. Action Taken: No Action Taken.
Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006726.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.
Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006727.exe infected by "Trojan.Win32.Dialer.ff" Virus. Action Taken: No Action Taken.
Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006726.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.
Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006727.exe infected by "Trojan.Win32.Dialer.ff" Virus. Action Taken: No Action Taken.

ich empfehle dir bei dieser sammlung dein system neu aufzusetzen
Format C
einer der ursachen
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
hier eine hilfestellung
sry

@Haui45 warst wieder mal schneller
chaosman