Hallo,

hier ist mein Logfile. Was kann ich tun?
Noch eine Frage: Wenn mein Rechner infisziert ist und noch ein Rechner mit meinem vernetzt ist, wird der andere Rechner dann auch infisziert?

Logfile of HijackThis v1.99.0
Scan saved at 01:40:01, on 12.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: PalNetaware.lnk = C:\Programme\Paltalk\pnetaware.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdateV3 - Activex Control) - http://support.fujitsu-siemens.de/De...pi/activex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{829C2FE0-EEC1-43ED-A770-E2F42F9AF344}: NameServer = 192.168.2.1
O21 - SSODL: rdshost - {39B57957-21CC-4BC7-AA72-AF69E5508B2A} - rdshost.dll (file missing)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

Hallo Rura!

Mache bitte folgendes:

Erstelle diesen Ordner auf deinem Laufwerk c:\bases.
Downloade dir escan Enpacke die Zip file mwav.zip in den selben Ordner.
Update, indem du die Datei kavupd.exe startest.

Danach wechsle in den abgesicherten Modus.

Abgesicherter Modus bei abgeschaltener Systemwiederherstellung (Rechtsklick auf den Arbeitsplatz--> Eigenschaften --> Systemwiederherstellung (Haken bei "Systemwiederherstellung bei allen Laufwerken deaktivieren" setzen).

Starte HJT und fixe folgende Einträge mit Hijackthis= (HJT)

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - Startup: PalNetaware.lnk = C:\Programme\Paltalk\pnetaware.exe
O21 - SSODL: rdshost - {39B57957-21CC-4BC7-AA72-AF69E5508B2A} - rdshost.dll (file missing)

Wenn das erledigt is mache folgendes:
Windows Explorer -> Extras-> Ordneroptionen -> Ansicht -> Haken entfernen bei Geschützte Systemdateien ausblenden (empfohlen) und Alle Dateien und Ordner anzeigen Hacken setzen

Lösche dazu manuell das:
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\Programme\Paltalk\pnetaware.exe
C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll

Scanne danach mit escan

Diese Einstellungen für den Scan beachten: http://www.trojaner-board.de/42731-escan-anleitung.html

Nach Beendigung der Scans:

Danach Systemwiederherstellung aktivieren und zurück in den normalen Modus (Pc neustarten).
Nun öffne C:\bases öffne mit dem Editor die mwav.txt und wähle unter bearbeiten -> suchen, hier gibst du infected ein.

Alle Zeilen mit infected bitte hier Posten auch die zusammenfassung am ende des Logs.

Neues HJT Logfile posten

Hallo The Saint,

danke .
Bei Escan gibt es keine zip-Datei, sondern nur die Datei mwav.exe. Soll ich diese herunter laden?

Zitat:

Zitat von Rura

Hallo The Saint,

danke .
Bei Escan gibt es keine zip-Datei, sondern nur die Datei mwav.exe. Soll ich diese herunter laden?

ja die mußt du dir herunterladen und diese datei ist eine zip datei!

Am Besten rechtsklick--> entpacken nach--> C:\bases

Hallo The Saint,

hoffentlich habe ich alles richtig durchgeführt. Hier sind die Daten:

Sat Feb 12 14:27:11 2005 => File C:\WINNT\system32\phfkt.dll infected by "Backdoor.Win32.Kyrdor.305" Virus. Action Taken: File Renamed.

Sat Feb 12 14:27:17 2005 => File C:\WINNT\system32\rdshost.dll infected by "Backdoor.Win32.Kyrdor.305" Virus. Action Taken: File Renamed.

Sat Feb 12 14:31:21 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Sat Feb 12 14:31:21 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Sat Feb 12 14:31:21 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\AAWBCKPRESTORE.REG.001
Sat Feb 12 14:31:21 2005 => File
C:\Programme\AVPersonal\INFECTED\AAWBCKPRESTORE.REG.001 infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

Sat Feb 12 14:31:21 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\AAWBCKPRESTORE.REG.002
Sat Feb 12 14:31:21 2005 => File C:\Programme\AVPersonal\INFECTED\AAWBCKPRESTORE.REG.002 infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

Sat Feb 12 14:31:21 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\AAWBCKPRESTORE.REG.003
Sat Feb 12 14:31:21 2005 => File C:\Programme\AVPersonal\INFECTED\AAWBCKPRESTORE.REG.003 infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

Sat Feb 12 14:31:21 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\AAWBCKPRESTORE.REG.004
Sat Feb 12 14:31:21 2005 => File C:\Programme\AVPersonal\INFECTED\AAWBCKPRESTORE.REG.004 infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

Sat Feb 12 14:31:21 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\AAWBCKPRESTORE.REG.005
Sat Feb 12 14:31:21 2005 => File
C:\Programme\AVPersonal\INFECTED\AAWBCKPRESTORE.REG.005 infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

Sat Feb 12 14:31:21 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\AAWBCKPRESTORE.REG.006
Sat Feb 12 14:31:21 2005 => File C:\Programme\AVPersonal\INFECTED\AAWBCKPRESTORE.REG.006 infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

Sat Feb 12 14:31:21 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\AAWBCKPRESTORE.REG.VIR

Sat Feb 12 14:31:21 2005 => File C:\Programme\AVPersonal\INFECTED\AAWBCKPRESTORE.REG.VIR infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

Sat Feb 12 14:31:21 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\STARINSTALL[1].OCX.VIR




Sat Feb 12 14:49:35 2005 => ***** Checking for specific ITW Viruses *****
Sat Feb 12 14:49:35 2005 => Checking for Welchia Virus...
Sat Feb 12 14:49:35 2005 => Checking for LovGate Virus...
Sat Feb 12 14:49:35 2005 => Checking for CodeRed Virus...
Sat Feb 12 14:49:35 2005 => Checking for OpaServ Virus...
Sat Feb 12 14:49:35 2005 => Checking for Sobig.e Virus...
Sat Feb 12 14:49:35 2005 => Checking for Winupie Virus...
Sat Feb 12 14:49:35 2005 => Checking for Swen Virus...
Sat Feb 12 14:49:35 2005 => Checking for JS.Fortnight Virus...
Sat Feb 12 14:49:36 2005 => Checking for Novarg Virus...

Sat Feb 12 14:49:36 2005 => ***** Scanning complete. *****

Sat Feb 12 14:49:36 2005 => Total Number of Files Scanned: 22877
Sat Feb 12 14:49:36 2005 => Total Number of Virus(es) Found: 9
Sat Feb 12 14:49:36 2005 => Total Number of Disinfected Files: 0
Sat Feb 12 14:49:36 2005 => Total Number of Files Renamed: 9
Sat Feb 12 14:49:36 2005 => Total Number of Deleted Files: 0
Sat Feb 12 14:49:36 2005 => Total Number of Errors: 0
Sat Feb 12 14:49:36 2005 => Time Elapsed: 00:30:30
Sat Feb 12 14:49:36 2005 => Virus Database Date: 2005/02/12
Sat Feb 12 14:49:36 2005 => Virus Database Count: 118039

Sat Feb 12 14:49:36 2005 => Scan Completed.

Sat Feb 12 14:50:17 2005 => Virus Database Date: 2005/02/12
Sat Feb 12 14:50:17 2005 => Virus Database Count: 118039
Sat Feb 12 14:50:26 2005 => AV Library Unloaded (3)...




HJT Logfile

Logfile of HijackThis v1.99.0
Scan saved at 15:06:47, on 12.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdateV3 - Activex Control) - http://support.fujitsu-siemens.de/De...pi/activex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{829C2FE0-EEC1-43ED-A770-E2F42F9AF344}: NameServer = 192.168.2.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

o.O backdoors. dein system ist kompromttiert, es ist nicht mehr vertauenswürdig.
installiere windows neu und beachte diese Anleitung

Hallo,

Noch zwei Fragen habe ich:

1. Mein Rechner ist mit einem Rooter zu einem zweiten vernetzt. Wird der andere Rechner dann automatisch auch befallen?
2. Kann ich problemlos noch einige Dateien (keine Programme) auf dem anderen Rechner bzw. auf Diskette, CD sichern oder bedeutet dies, dass der Virus sich überträgt?

Vielen Dank für Eure Hilfe!

Zitat:

Zitat von Rura

Hallo,

Noch zwei Fragen habe ich:

1. Mein Rechner ist mit einem Rooter zu einem zweiten vernetzt. Wird der andere Rechner dann automatisch auch befallen?
2. Kann ich problemlos noch einige Dateien (keine Programme) auf dem anderen Rechner bzw. auf Diskette, CD sichern oder bedeutet dies, dass der Virus sich überträgt?

Vielen Dank für Eure Hilfe!

Zu 1.: Ja!

Zu 2.: Du kannst Daten sichern wie Bilder,Filme,.txt Dateien nur auf ausführbare Programme musst du verzichten.Scan die CD aber vorher mit einem aktuellen AV bevor du die Sachen auf den PC holst um eine erneute Verseuchung zu vermeiden!

Gruss

Danke für die Hilfe, Herr Kautz.