Hallo
ich stell hier mal das HijackThis von dem PC meiner Freundin rein. Sie hat irgendwelche Trojaner auf dem Rechner, die sich nach löschen und neuem hochfahren wieder drauf sind.

Logfile of HijackThis v1.98.2
Scan saved at 16:31:15, on 10.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\realplay.exe
C:\WINDOWS\System32\Realplaysvc.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\socks2.exe
C:\WINDOWS\System32\scvhost.exe
C:\Program Files\Admanager Controller\AdManCtl.exe
C:\temp\salm.exe
C:\Program Files\Admanager Controller\AdManKeep.exe
C:\Program Files\Windows AdStatus\WinStat.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AOL 8.0\aoltray.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\Windows AdStatus\WinStatKeep.exe
C:\WINDOWS\System32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\dumprep.exe
C:\WINDOWS\System32\dwwin.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Birgit Preyer\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.docs.yahoo.com/info/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?p=%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\ycomp5_1_6_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\ycomp5_1_6_0.dll
O4 - HKLM\..\Run: [Realplayer One] realplay.exe
O4 - HKLM\..\Run: [Microsofts media] Realplaysvc.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Device] C:\WINDOWS\socks2.exe
O4 - HKLM\..\Run: [winmgr.exe] scvhost.exe
O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager Controller\AdManCtl.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe
O4 - HKLM\..\RunServices: [IPConfig] ipconfigs.exe
O4 - HKLM\..\RunServices: [Realplayer One] realplay.exe
O4 - HKLM\..\RunServices: [Microsofts media] Realplaysvc.exe
O4 - HKLM\..\RunServices: [winmgr.exe] scvhost.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: MedionShop - {811DDDB7-933B-4717-8A6B-4F86A67E0F9F} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...da8f616b0d1788

Vielen Dank schon mal im vorraus
Grüße Desiree

hallo dsiree,

ich hoffe es nimmt mir keiner der experten hier übel, dass ich als laie was dazu schreibe. ich habe nur grade gesehen, dass du nicht die aktuelle version von hjt benutzt hast.

vielleicht nutzt du die zeit bis einer der cracks hier reinschaut und machst nochmal ein log mit der neuesten version.

viele grüße,
martin

vielen Dank für den Hinweis. Es ist tatsächlich etwas länger her als ich mir diese Version besorgt habe. Kann aber leider erst später wieder ein neues Log reinsetzten, da ich ja erst nochmal zu meiner Freundin muß. Aber vielen Dank.
Gruß Desiree

Hi Desiree,

leider ist der Rechner deiner Freundin hochgradig verseucht, sollte schnellstens vom Netz genommen und neu installiert werden, denn unter den Schädlingen befinden sich auch Backdoorprogramme, beispielsweise:

http://www.sophos.de/virusinfo/analyses/w32rbotkx.html
http://www.sophos.de/virusinfo/analy...2agobotpb.html


Bitte dabei an nachfolgende Anleitung halten und auch die weiterführenden Links für die Zukunft durcharbeiten und umsetzen:

http://www.trojaner-info.de/report_i...nleitung.shtml

Ohje danke,

dann werd ich ihr mal die "frohe" Botschaft überbringen.

Vielen dank, dann muß ich den Rechner wohl platt machen.

Grüße Desiree