ich habe folgendes problem:
meine internetstartseite öffnet immer mit search-area.com.
alle probleme die ad-aware, spybot und HTJ im abgesicherten modus aufgespürt hat, sind nicht dauerhaft zu entfernen.

könnt ihr mir bitte sagen, was ich tun soll??
vielen dank im voraus.

h.

hier die kurzauswertung meines logfile:

Logfile of HijackThis v1.99.1
Scan saved at 10:30:23, on 01.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

C:\WINDOWS\System32\bcmwltry.exe - Unbekannt
C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe - Unbekannt
C:\PROGRA~1\cobra\PLUS10\Programm\cobraTM.exe - Unbekannt
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-area.com - Böse
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-area.com/?my= (obfuscated) - Böse
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-area.com/?my= (obfuscated) - Böse
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe - Unbekannt
O4 - Global Startup: BTTray.lnk = ? - Unbekannt
O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%61%72%6...%63%6F%6D/?my= - Böse
O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%61%72%6...%63%6F%6D/?my= - Böse
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.fotopost24.de/XUpload.ocx - Eventuell Böse
O23 - Service: McAfee Firewall - Unknown owner - C:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing) - Unbekannt

Tach Du

2 Dinge möchte ich Dich bitten :

a.) poste bitte dein gesamtes Log, da Schnipsel nicht wirklich hilfreich sind
b.) lade Dir eScan runter und scanne Dein System bitte (eine Anleitung wie eScan zu benutzen ist und zu updaten, solltest Du hier im Forum locker finden) , das Ende des Logs [also : Anzahl der gescannten Files und gefundener Malware bitte hier posten]

Bitte beachte, dass Du das Scannen des Systemes stets im abgesichterten Modus machst (genau wie das evtl. entfernen später)

Also nochmal : Scanne im abgesichterten Modus.

In diesme Sinne, bis später, wenn es später ist

hallo

hier schon mal das gesamte logfile.
hab bereits escan im abgesicherten modus durchlaufenlassen. dabei wurde nichts gefunden. allerdings war die einstellung nicht auf all files eingestellt. mach ich also nochmal.
spybot findet immer einen `dso exploit`?!. kann aber auch nicht beseitigt werden...

danke und bis später - ich denke es wird später
grüße
h.


Logfile of HijackThis v1.99.1
Scan saved at 10:30:23, on 01.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\McAfee\McAfee VirusScan\VsStat.exe
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\pctspk.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Dell\QuickSet\QuickSet.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\WLANSTA.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programme\Dell\Bluetooth Software\BTTray.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\PROGRA~1\Dell\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Apoint\Apntex.exe
C:\Programme\McAfee\McAfee VirusScan\VsMain.exe
C:\Programme\McAfee\McAfee VirusScan\AlogServ.exe
C:\PROGRA~1\cobra\PLUS10\Programm\cobraTM.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Angekika\Lokale Einstellungen\Temp\Temporäres Verzeichnis 9 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-area.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-area.com/?my= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-area.com/?my= (obfuscated)
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\QuickSet.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [monitor] monitor.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%61%72%6...%63%6F%6D/?my=
O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%61%72%6...%63%6F%6D/?my=
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.fotopost24.de/XUpload.ocx
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...42/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6649C3D3-FD03-4E61-A2FC-7EAA83B3FA15}: NameServer = 192.168.1.1,194.25.2.129,194.25.2.130
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1FAB1FE-223F-4C30-B3FD-FA894DEC88FF}: NameServer = 192.168.1.1,194.25.2.129,194.25.2.130
O23 - Service: AVSync Manager (AvSynMgr) - Network Associates, Inc. - C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee Firewall - Unknown owner - C:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing)
O23 - Service: McShield - Unknown owner - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

Es gibt da eine menge Einträge, die entfernt werden sollten.

Beispielsweise :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-area.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-area.com/?my= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-area.com/?my= (obfuscated)
O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%61%72%...E%63%6F%6D/?my=
O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%61%72%...E%63%6F%6D/?my=
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.fotopost24.de/XUpload.ocx
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

das ist das was ich im Schnellverfahren gerade sehe, aber mir drängt sich da noch ein ganz anderer Verdacht auf, weil ich da etwas sehe was mir net gefällt

F2 - REG:system.ini: Shell=Explorer.exe monitor.exe

Kannst Du bitte mal dein System nach einer "monitor.exe" durchsuchen, diese mir dann via "zip"-file mit passwort (nimm 1234) an folgende Adresse senden
guide-alby[at]gmx.de.
Mir drängt sich da der Verdacht auf, dass da einiges in Deinem System net i.O. ist.

Gruß
Andy

Hallo hopeless,

den 023-Eintrag bitte nicht fixen, da Du Wlan benutzt.

Die "monitor.exe" braucht ebenfalls nicht gefixt werden, sofern escan, was ich bezweifle, etwas anderes herausfindet.

Dein Startseitenproblem kannst Du so lösen:

http://www.trojaner-board.de/showpos...24&postcount=8

Ansonsten erstmal Escan abwarten.

dartus

Hallo nochmal,

siehe den Link, den ich Dir bereits gepostet habe.
Beim Wechsel in den abgesichertem Modus deaktiviere bitte die Systemwiederherstellung.
http://www.systemwiederherstellung-d...indows-xp.html

WINDOWSUPDATEN auf SP2 und ein neues Logfile.

dartus

hallo..

hatte bereits die systemwiederherstellung deaktiviert. kann aber trotzdem nicht die von hjt gefundenen probleme fixen. bei neuscan sind immer dieselben probleme da.
außerdem kann ich auch keine mssoft finden...

bitte um antwort für ungeübte...
inzwischen verzweiflete grüße
h.

Hallo,

hast Du Dir den Beitrag in dem Link genau durchgelesen und auch danach gehandelt? Ist unter Software etwas was Du nicht kennst, was ev. ähnlich heisst?

dartus

hallo (dartus),
weiss echt nicht weiter:
hab im abgesichterten modus die systemherstellung deaktiviert, dann hjt und spybot laufen lassen, hab fix checked buttons gedrückt und msalchemie (oä) gelöscht....
was noch? logfile und escanergebnisse hab ich euch ja gepostet.
aber da ist immer noch die search-area.com seite...........
?
grüße
h.

Hallo,

hast Du die Datei "fix.reg" erzeugt? Findet sich nichts unter Systemsteuerung->Software was Du nicht kennst?

dartus

hallo

konnte die startseite ändern und hab ein neues logfile erstellt. ist das so jetzt ok?

was mache ich mit den von escan gefundenen viren? (die McAfee viren hab ich bereits gelöscht)

die fix.reg hab ich noch nicht erstellt...hab nicht verstanden wo ich das hinspeichern soll...

kannst du mir da nochmal helfen?!

vielen dank,
h.

Logfile of HijackThis v1.99.1
Scan saved at 09:23:49, on 02.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\McAfee\McAfee VirusScan\VsStat.exe
C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\pctspk.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Dell\QuickSet\QuickSet.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\WLANSTA.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programme\Dell\Bluetooth Software\BTTray.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe
C:\Programme\Apoint\Apntex.exe
C:\PROGRA~1\Dell\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\Programme\McAfee\McAfee VirusScan\VsMain.exe
C:\Programme\McAfee\McAfee VirusScan\AlogServ.exe
C:\Dokumente und Einstellungen\Angekika\Lokale Einstellungen\Temp\Temporäres Verzeichnis 21 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\QuickSet.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.fotopost24.de/XUpload.ocx
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...42/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6649C3D3-FD03-4E61-A2FC-7EAA83B3FA15}: NameServer = 192.168.1.1,194.25.2.129,194.25.2.130
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1FAB1FE-223F-4C30-B3FD-FA894DEC88FF}: NameServer = 192.168.1.1,194.25.2.129,194.25.2.130
O23 - Service: AVSync Manager (AvSynMgr) - Network Associates, Inc. - C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee Firewall - Unknown owner - C:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing)
O23 - Service: McShield - Unknown owner - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

ergebnis escan:
File C:\Dokumente und Einstellungen\Angekika\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\scroll3.class-6345326e-55439482.class tagged as not-a-virus:JavaClass.TickerTape. No Action Taken.
File C:\Programme\McAfee\McAfee VirusScan\QUARANT\A0011486.exe_.MCQ infected by "Net-Worm.Win32.Sasser.a" Virus. Action Taken: No Action Taken.
File C:\Programme\McAfee\McAfee VirusScan\QUARANT\svchost.exe_.MCQ infected by "Net-Worm.Win32.Welchia.b" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP253\A0052734.exe infected by "Trojan.Win32.Dialer.ec" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP253\A0052737.exe infected by "Trojan.Win32.Dialer.ec" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP253\A0052778.exe infected by "Trojan.Win32.Dialer.ec" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP253\A0052779.exe infected by "Trojan.Win32.Dialer.ec" Virus. Action Taken: No Action Taken.

Hi,

Zitat:

Zitat von hopeless

die fix.reg hab ich noch nicht erstellt...hab nicht verstanden wo ich das hinspeichern soll...

einfach unter c:.

Den Rest hier (C:\System Volume Information\_restore) wirst Du so los:

Systemwiederherstellung deaktivieren-->Neustart-->Systemwiederherstellung aktivieren, so wie hier beschrieben:

http://www.systemwiederherstellung-d...indows-xp.html

Folgende Einträge kannst Du noch fixen:
O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)


...und WINDOWSUPDATEN auf SP2.

dartus

hallo.

hab die systemwiederherstellung deaktiviert, neugestartet und wieder aktiviert. hab die fix.reg gespeichert. windows upgedatet und das ist nun das neue logfile. ist das jetzt ok?

wie ernst muß ich den trojanerbefall nehmen? muß ich wirklich das ganze system neu aufsetzen?

grüße
h.


Logfile of HijackThis v1.99.1
Scan saved at 13:13:10, on 02.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\McAfee\McAfee VirusScan\VsStat.exe
C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\WINDOWS\System32\pctspk.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Dell\QuickSet\QuickSet.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\WLANSTA.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Angekika\Lokale Einstellungen\Temp\Temporäres Verzeichnis 24 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\QuickSet.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1109761509793
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.fotopost24.de/XUpload.ocx
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...42/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6649C3D3-FD03-4E61-A2FC-7EAA83B3FA15}: NameServer = 192.168.1.1,194.25.2.129,194.25.2.130
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1FAB1FE-223F-4C30-B3FD-FA894DEC88FF}: NameServer = 192.168.1.1,194.25.2.129,194.25.2.130
O23 - Service: AVSync Manager (AvSynMgr) - Network Associates, Inc. - C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee Firewall - Unknown owner - C:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing)
O23 - Service: McShield - Unknown owner - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

Hallo hopeless,

eine Kompromittierung lag bei Dir nicht vor.
Ein Neuaufsetzen ist daher nicht zwingend notwendig.

Du hast zwar geschrieben, dass Du Dein System upgedatet hast, aber es steht in Deinem Logfile immer noch SP 1.
Aktuell ist SP 2.
Besuch bitte nochmals WINDOWSUPDATE oder bestell Dir die entspr CD bei Microsoft (etwa eine Woche Lieferzeit).

Das Service Paket 2 kannst Du Dir auch downloaden und auf CD brennen:

von Microsoft,

oder hier mit allen bisherigen Updates.

Schau Dir auch die 12 Punkte an.

dartus

vielen, vielen dank für deine hilfe!!!!!
hätte mich alleine nie zurechtgefunden...

grüße
h.