Hi bin neu hier,

zum glück bin ich auf eure Seite gestoßen bei dem verzweifelten versuch meinen Rechner wieder hin zu bekommen!
Ich hoffe das Ihr mir hier helfen könnt.

Also hier erstmal die List:

Logfile of HijackThis v1.99.0
Scan saved at 00:45:00, on 05.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\wumct.exe
D:\WINDOWS\System32\rundll32.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\WINDOWS\System32\rundll32.exe
G:\Programme\ProcessExp\procexp.exe
D:\WINDOWS\System32\rundll32.exe
D:\Programme\Avant Browser\avant.exe
D:\WINDOWS\System32\ntoksrnl.exe
C:\d3cxa.exe
G:\Programme\WinRAR\WinRAR.exe
D:\WINDOWS\system32\cmd.exe
D:\WINDOWS\system32\ftp.exe
D:\Dokumente und Einstellungen\Chris\Eigene Dateien\Downloads\hijackthis\HijackThis.exe
C:\d3cxa.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_p...ount_id=157515
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_p...ount_id=157515
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_p...ount_id=157515
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
R3 - URLSearchHook: (no name) - _{0199DF25-9820-4bd5-9FEE-5A765AB4371E} - (no file)
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - D:\WINDOWS\nem220.dll
O2 - BHO: NavErrRedir Class - {0199DF25-9820-4bd5-9FEE-5A765AB4371E} - D:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - D:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - D:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - D:\PROGRA~1\INCRED~1\BHO\INCFIN~2.DLL
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - D:\WINDOWS\System32\bridge.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - D:\Programme\SideFind\sfbho.dll
O2 - BHO: CHungryBHO Object - {BCF96FB4-5F1B-497B-AECC-910304A55011} - D:\WINDOWS\neti.dll
O2 - BHO: (no name) - {C5941EE5-6DFA-11D8-86B0-0002441A9695} - D:\WINDOWS\3_0_1browserhelper3.dll
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - D:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - D:\WINDOWS\System32\msbe.dll
O3 - Toolbar: Search Bar - {0A8CE102-FA03-4612-9BEE-7FE5452F4CB1} - D:\WINDOWS\system32\srchbar.dll
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\PROGRA~1\ISTbar\istbar.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 D:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [kalvsys] D:\windows\system32\kalvswn32.exe
O4 - HKLM\..\Run: [*wuauclt.exe] wumct.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run
O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [NT Service] ntoksrnl.exe
O4 - HKLM\..\RunServices: [*wuauclt.exe] wumct.exe
O4 - HKLM\..\RunServices: [Windows Updater] svigost.exe
O4 - HKLM\..\RunServices: [Regmgr] scvhost.exe
O4 - HKLM\..\RunServices: [Microsoft Explorer] svapache.exe
O4 - HKLM\..\RunServices: [Microsoft Update] Svhost.exe
O4 - HKLM\..\RunServices: [Winpro] win.exe
O4 - HKLM\..\RunServices: [Windows service] SAI.exe
O4 - HKLM\..\RunServices: [Windows Online Updater] dllman.exe
O4 - HKLM\..\RunServices: [Windows Media Player] mcafe32.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] MSNSRV32.exe
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [start uploading] smsss.exe
O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\RunServices: [RSPC Driver] axiz.exe
O4 - HKLM\..\RunServices: [NT Service] ntoksrnl.exe
O4 - HKLM\..\RunServices: [Norton Personal Firewall] npfw.exe
O4 - HKLM\..\RunServices: [NAV Auto Updates] navupdaterx.exe
O4 - HKLM\..\RunServices: [NAV Auto Protect] navprotect.exe
O4 - HKLM\..\RunServices: [msupdate] update.exe
O4 - HKLM\..\RunServices: [Microsoft Windows W32 Services] mssw32.exe
O4 - HKLM\..\RunServices: [MS Windows Update] scguard.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Updater] windates.exe
O4 - HKLM\..\RunServices: [Mcafee Auto Protect] mcafeshield.exe
O4 - HKLM\..\RunServices: [Internet Content Publisher] icp.exe
O4 - HKCU\..\Run: [*wuauclt.exe] wumct.exe
O4 - HKCU\..\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run
O4 - HKCU\..\RunServices: [start uploading] smsss.exe
O4 - Startup: Verknüpfung mit Verknüpfung mit procexp.lnk = G:\Programme\ProcessExp\procexp.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - D:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - D:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - D:\Programme\SideFind\sidefind.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Do.../bridge-c4.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://advnt01.com/dialer/internazionale_ver4.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F346AEA-C458-4C79-A574-64150ABAE693}: NameServer = 213.191.92.87 213.191.74.18
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - D:\WINDOWS\System32\Bdomne32.dll
O21 - SSODL: mtklef - {19AA37A1-FAD1-4928-8FAB-4929CA67DD25} - D:\WINDOWS\System32\luud32.dll

Hallo Taxs,

Dein System ist unheimlich verseucht.
Z.B. dieser Backdoor: http://www.sophos.de/virusinfo/analyses/w32rbotek.html
Eine Rettung Deines Systems wird hier wegen Kompromittierung nicht empfohlen.
Setzte Dein System neu auf ("Format c:") und halte Dich dringend an diese Vorgehensweise.
http://www.trojaner-info.de/report_i...nleitung.shtml

dartus

Gibts denn keine möglichkeit das system so zu retten?

Würde nur sehr ungern alles neu machen und alles verlieren! Könnte man das nicht mal versuchen, oder gibts da gar keine möglichkeit?
Wenn es wirklich keine gibt dann wäre es sehr nett wenn mir da jemand erklären könnte warum

Gehöre leider eher zu unwissenden auf diesem Gebiet!
Aber ich habe auch kein Poblem damit da Arbeit zu investieren, also wenn vieleicht ne möglichkeit gibt, würde ich es gern versuchen.
Danke

Hallo Taks,

die Mühe lohnt sich nicht!
Alle geladenen Programme unter "04" sind mehr als zweifelhaft.
Du hast vermutlich mehrere Backdoors am laufen.
Das alles zu bereinigen, würde mehr Zeit in Anspruch nehmen als ein sauberer Schnitt. Denk an Deine eigene Sicherheit!!

dartus

@Taxs
Gibts denn keine möglichkeit das system so zu retten?

Nein, du hast mehrere backdoors im system + noch jede menge spyware

Wenn es wirklich keine gibt dann wäre es sehr nett wenn mir da jemand erklären könnte warum
lese dich hier mal durch http://www.mathematik.uni-marburg.de...ompromise.html

geh so schnell wie möglich vom netz, setze dein system neuauf(format C)
hier eine anleitung
http://www.trojaner-board.de/showpos...28&postcount=2

sry
chaosman

Ist es nun in Ordnung?
Habe auch die sicherheitseinstellungen befolgt und bin dann erst Online gegangen! Würde nur gern zur Sicherheit nochmal ein OK von euch haben
Vielen Dank für eure Hilfe!!!

Logfile of HijackThis v1.99.0
Scan saved at 01:39:56, on 07.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Avant Browser\avant.exe
C:\Dokumente und Einstellungen\Internet\Eigene Dateien\Download\hijackthis199\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

@Taxs
dein logfile sieht aus nach abgesicherten modus,
wir brauchen logfile aus der normalen modus.
system und IE updaten, SP2 ist z.Z.aktuell

diese einträge
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
in den abgesicherten modus mit HJT fixen, danach manuell löschen
C:\WINDOWS\web\related.htm

neu booten
chaosman

Hi Taxs

Zitat:

Zitat von Taxs

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

nicht ganz! Update auf SP2!
Dein Logfile sieht mir ein wenig dürftig aus.

dartus

Wie kann ich das denn updaten?

Könnt ihr mir da vieleicht nen link geben?

@Taxs
IE öffnen, Extras, windowsUpdate.
oder besorge dir ein heft CD wo sp2 drauf ist
chaosman

Bei Microsoft bestellen geht auch.
Hier, dauert etwa eine Woche.

dartus

Wenn ich windows updat aufrufe bekomme ich nur eine leere seite, wieso baut er die nicht auf oder macht irgendwas? Er sagt mir nur Fertig!
Sonst passiert weiter nix

Hab nochmal gebootet und wieder probiert, geht aber leider nicht

Hi, sieht das jetzt gut aus?
Oder fehlt mir noch was?

Logfile of HijackThis v1.99.0
Scan saved at 19:54:13, on 07.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\F-Secure Anti-Virus\FSGUI\fsguiexe.exe
C:\Programme\Avant Browser\avant.exe
C:\Dokumente und Einstellungen\Dani\Eigene Dateien\Download\hijackthis199\HijackThis.exe

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1107792141640
O17 - HKLM\System\CCS\Services\Tcpip\..\{A634A355-57BB-4F80-A960-CDD9668B3D80}: NameServer = 213.191.92.87 213.191.74.18
O23 - Service: F-Secure Anti-Virus 2005 - Unknown - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - Unknown - C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - Unknown - C:\Programme\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE