Hallo zusammen,

kämpfe an einem Rechner, dem ich im Moment überhaupt nicht über den Weg traue.

Was sagt ihr zu diesem Log:

Logfile of HijackThis v1.99.1
Scan saved at 12:36:55, on 9.3.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Symantec\pcAnywhere\awhost32.exe
C:\WINNT\System32\rcapi.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\Registry.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\WINNT\system32\connmie.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\system32\dxconf.exe
C:\Programme\Trend Micro\Internet Security\tmproxy.exe
C:\Programme\Trend Micro\Internet Security\PccPfw.exe
C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
C:\Programme\Trend Micro\Internet Security\PCClient.EXE
C:\Programme\Trend Micro\Internet Security\PCCGUIDE.EXE
C:\Programme\Trend Micro\Internet Security\TMOAgent.exe
C:\Programme\Gemeinsame Dateien\Adobe\ESD\AdobeDownloadManager.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\ramm\download\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ntserver1:80
R3 - URLSearchHook: (no name) - {B4780F48-BAB8-B59B-3134-14C330345BC4} - BoundRec.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0D900385-8AD9-4215-BC83-5976D8FBBA65} - C:\WINNT\System32\sfcman32.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINNT\System32\iecustom32.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Programme\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programme\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [barint] WinInitDll.exe
O4 - HKLM\..\Run: [prcmon] browsebar.exe
O4 - HKLM\..\RunOnce: [dwlgr.exe] dwlgr.exe
O4 - HKCU\..\Run: [WareOut] "C:\Programme\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [TForm1] panel_its.exe
O4 - HKCU\..\Run: [SYSTRAV] prgsys0984.exe
O4 - HKCU\..\Run: [dlmMgr] "C:\Programme\Gemeinsame Dateien\Adobe\ESD\AdobeDownloadManager.exe" restart=1
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Zahlungserinnerung.lnk = C:\PROFI\wzed.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O21 - SSODL: pzOmb - {70329F5B-DA98-35F1-C117-6EA681AF527F} - C:\WINNT\System32\br.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ELSA CAPI Control (ElsaCapiCtl) - Unknown owner - C:\WINNT\System32\rcapi.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: Sage KHK Registry Service (Registry) - Sage KHK Software - C:\Programme\Gemeinsame Dateien\Sage KHK Shared\Registry.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\tmproxy.exe

Ich würde Dir als ersten empfehlen, lade Dir den eScan herunter, update ihn, mache vor dem Start einen Haken bei "scan all local drives" und "scan all files" und lasse ihn im VGA_Modus laufen. Der scan dauert cs. 1 Stunde. Poste das Ergebnis (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen) hier rein. Ich vermute eine Menge an Malware. Ich bitte Dich, die Dateien:
O4 - HKLM\..\Run: [barint] WinInitDll.exe
O4 - HKLM\..\Run: [prcmon] browsebar.exe
O4 - HKLM\..\RunOnce: [dwlgr.exe] dwlgr.exe
O4 - HKCU\..\Run: [WareOut] "C:\Programme\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [TForm1] panel_its.exe
O4 - HKCU\..\Run: [SYSTRAV] prgsys0984.exe
O4 - HKCU\..\Run: [dlmMgr] "C:\Programme\Gemeinsame Dateien\Adobe\ESD\AdobeDownloadManager.exe" restart=1
C:\WINNT\System32\sfcman32.dll/sp.html
C:\WINNT\system32\connmie.exe
C:\WINNT\system32\dxconf.exe
bei "malware-upload" (siehe meine Signatur) online scannen zu lassen und das Ergebnis ebenfalls hier rein zustellen.
cacatoa

Hallo cacatoa,

vielen Dank für deine Hilfe!

Habe escan durchlaufen lassen:

Mon Mar 14 16:58:08 2005 => File C:\WINNT\system32\iecustme.exe infected by "Trojan.Win32.StartPage.vb" Virus. Action Taken: No Action Taken.

Mon Mar 14 17:12:39 2005 => Scanning File C:\news.exe
Mon Mar 14 17:12:39 2005 => File C:\news.exe infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.


Mon Mar 14 17:35:31 2005 => Scanning File C:\WINNT\system32\iecustme.exe
Mon Mar 14 17:35:31 2005 => File C:\WINNT\system32\iecustme.exe infected by "Trojan.Win32.StartPage.vb" Virus. Action Taken: No Action Taken.


Mon Mar 14 17:37:47 2005 => Total Files Scanned: 27564
Mon Mar 14 17:37:47 2005 => Total Virus(es) Found: 3
Mon Mar 14 17:37:47 2005 => Total Disinfected Files: 0
Mon Mar 14 17:37:47 2005 => Total Files Renamed: 0
Mon Mar 14 17:37:47 2005 => Total Deleted Files: 0
Mon Mar 14 17:37:47 2005 => Total Errors: 13
Mon Mar 14 17:37:47 2005 => Time Elapsed: 00:41:01
Mon Mar 14 17:37:47 2005 => Virus Database Date: 2005/03/11
Mon Mar 14 17:37:47 2005 => Virus Database Count: 121166

Mon Mar 14 17:37:47 2005 => Scan Completed.


Trend Micro hat ausserdem in Quarantäne gesetzt:

Troj_startpage.fm C:\winnt\system32\ctbasxt.exe
Troj_small.zj C:\winnt\system32\sprmover.exe
Troj_adclicker.q C:\winnt\system32\truettf.exe

Diese kommen immer wieder :-((

Bin fast soweit, das komplette System neu aufzusetzen.
Bin für weitere Hinweise sehr dankbar!

Danke und viele Grüße

boote in den abgesicherten Modus und lösche von Hand folgende Dateien:

C:\WINNT\system32\iecustme.exe
C:\news.exe

leere den Quarantäneordner
leere Deinen Papierkorb

checke Dein System nochmal mit eScan

neu booten neuse HJT posten

BTW was ist eigentlich mit den Ergebnissen vom Upload