Hi,

mir war so als hätte ich nen paar üble Trojaner, Viren wasauchimmer aufm Rechner, da einige Internet Seiten einfach nicht mehr erschienen... hab dann alles befolgt, so wie es in diesem Thread steht:
http://www.trojaner-board.de/forum/u...c;f=6;t=004653

Hab mir sogar den Avant Browser gesaugt [img]smile.gif[/img] )
Ich wollte nur kurz meine HijackThis Log zeigen, denke aber das alles ok sein müsste..

Danke im Vorraus

Logfile of HijackThis v1.97.7
Scan saved at 14:05:41, on 17.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\SCVHOST.EXE
C:\Programme\Messenger\msmsgs.exe
C:\dokume~1\wasser~1\anwend~1\wininet.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\eMule\emule.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE
O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
O4 - HKLM\..\RunServices: [mmtask0] C:\WINDOWS\System32\mmtask0.exe
O4 - HKLM\..\RunServices: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE
O4 - HKLM\..\RunServices: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [System Update4] c:\dokume~1\wasser~1\anwend~1\wininet.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Zahlungserinnerung.lnk = C:\HCW\wzed.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...8093.132349537
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE4FED6B-4D41-488E-8936-616EFAB28D65}: NameServer = 62.225.244.197 194.25.2.129

</font><blockquote>Zitat:</font><hr />O4 - HKLM\..\RunServices: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE</font>[/QUOTE] </font><blockquote>Zitat:</font><hr />C:\WINDOWS\System32\SCVHOST.EXE</font>[/QUOTE]Das ist ganz sicher keine Windowsdatei.

</font><blockquote>Zitat:</font><hr />O4 - HKCU\..\Run: [System Update4] c:\dokume~1\wasser~1\anwend~1\wininet.exe</font>[/QUOTE]Und die wininet.exe oben bei den laufenden Prozessen ist komisch.

</font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
O4 - HKLM\..\RunServices: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE</font>[/QUOTE]Das sieht nach einem Trojaner aus

</font><blockquote>Zitat:</font><hr />O4 - Global Startup: Zahlungserinnerung.lnk = C:\HCW\wzed.exe</font>[/QUOTE]Was ist das denn?

</font><blockquote>Zitat:</font><hr />O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab </font>[/QUOTE]Das sieht für mich komisch aus, irgendwie nach einem Dialer finde ich. Was meinen die anderen?

</font><blockquote>Zitat:</font><hr />O4 - HKLM\..\RunServices: [mmtask0] C:\WINDOWS\System32\mmtask0.exe</font>[/QUOTE]So wie es aussieht, sieht da aus wie nen Dialer. (laut Google)

Björn

[ 17. April 2004, 14:47: Beitrag editiert von: Lucky ]

einfach löschen oder wie soll ich vorgehen?

Ich habe noch ein bissel editiert.

Ja ich würde sagen ja löschen und per HijackThis fixen lassen.

Aber alles auf eigene Gefahr!

Björn

&gt;O4 - Global Startup: Zahlungserinnerung.lnk = C:\HCW\wzed.exe
--------------------------------------------------------------------------------

Was ist das denn?


das müsste Home Cash sein, ein Banking Programm, also lass ich das mal lieber so...

um den Rest kümmere ich mich, thx

und was die svchost betrifft:

http://www.pctip.ch/helpdesk/kummerk...in2k/25498.asp


Würde mich auch ehrlich gesagt wundern wenn da ein Virus drin wäre, die ist uralt

Die Datei die ich zitiert habe heißt aber scvhost.exe und als Windowsdatei hätte sie keinen run Eintrag.

Björn

Ok dann hau ich die auch noch raus

http://www.liutilities.com/products/...brary/scvhost/

Hast du alle Patches für Windows drauf?

Björn

moin,

</font><blockquote>Zitat:</font><hr />O4 - HKLM\..\RunServices: [mmtask0] C:\WINDOWS\System32\mmtask0.exe </font>[/QUOTE]und den bitte mal auch fixen. gehört zu einem dialer lt. pestpetrol

infos hier: http://www.pestpatrol.com/pestinfo%5Cm%5Cmmtask.asp

@mav
*g* Steht doch bei meinem ersten Post drin

Björn [img]graemlins/lach.gif[/img]

Jo, die mmtask is draußen und nein, ich habe glaube ich net alle Patches gezogen... hinke da ein wenig hinterher... Naja ich versuch die jetz erstmal rauszuhauen und dann mal gucken