Hallo,

ich merke, dass ich mir irgendwas eingefangen habe. Leider besitze ich nicht die Kompetenz "dieses" zu beseitigen.

Ich danke Euch für die Hilfe.



Logfile of HijackThis v1.99.1
Scan saved at 16:25:10, on 24.03.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\E_S4I0R2.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\LOGITECH\SETPOINT\KEM.EXE
C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE
C:\PROGRAMME\EUMEX 704PC DSL\CAPICTRL.EXE
C:\PROGRAMME\EUMEX 704PC DSL\HNETCTRL.EXE
C:\PROGRAMME\EPSON\EPSON CARDMONITOR\EPSON CARDMONITOR1.2.EXE
C:\PROGRAMME\LOGITECH\SETPOINT\KHALMNPR.EXE
C:\WINDOWS\SYSTEM\AUDISSRP.EXE
C:\PROGRAMME\WINAMP\WINAMP.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Name - {1FF8AAE0-9A28-11D9-8653-003042FFFD01} - C:\WINDOWS\SYSTEM\MSUDT.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\SYSTEM\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O5 "LPT1:" /M "Stylus C86"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SetPoint] C:\Programme\Logitech\SetPoint\KEM.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunOnce: [DWNFW.EXE] DWNFW.EXE
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 704PC DSL\Capictrl.exe
O4 - Startup: HomeNet Control.lnk = C:\Programme\Eumex 704PC DSL\HNetCtrl.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSON CardMonitor.lnk = C:\Programme\EPSON\EPSON CardMonitor\EPSON CardMonitor1.2.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Microsoft AntiSpyware helper - {9A877A40-8AF9-11D9-8653-003042FFFD01} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {9A877A40-8AF9-11D9-8653-003042FFFD01} - (no file) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {7763BA80-924A-11D9-8653-003042FFFD01} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {7763BA80-924A-11D9-8653-003042FFFD01} - (no file) (HKCU)
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/game...ts/y/pt3_x.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

Hallo Equi,

führe bitte dies mal aus:
1. Downloade Dir escan und befolge genau diese Anleitung (Scan IM ABGESICHERTEN MODUS dauert etwa eine Stunde),http://www.systemwiederherstellung-d...indows-xp.html
2. starte nach dem Scan wieder in den normalen Modus dauert,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.


dartus

Hallo,

dankeschön für deine Hilfe.


Hier das Ergebnis:

Thu Mar 24 21:02:00 2005 => File C:\WINDOWS\SYSTEM\MSUDT.DLL infected by "Trojan-Downloader.Win32.Murlo.f" Virus. Action Taken: No Action Taken.

Thu Mar 24 21:03:14 2005 => File C:\WINDOWS\SYSTEM\dwcrnt.exe infected by "HackTool.Win32.Hidd.h" Virus. Action Taken: No Action Taken.

Thu Mar 24 21:03:42 2005 => File C:\WINDOWS\SYSTEM\AWM226.exe infected by "Trojan.Win32.Dialer.hk" Virus. Action Taken: No Action Taken.

Thu Mar 24 21:03:42 2005 => File C:\WINDOWS\SYSTEM\dosxpd.exe infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: No Action Taken.

Thu Mar 24 21:03:42 2005 => File C:\WINDOWS\SYSTEM\audissrp.exe infected by "Trojan-Clicker.Win32.Agent.cn" Virus. Action Taken: No Action Taken.

Thu Mar 24 21:03:42 2005 => File C:\WINDOWS\SYSTEM\fixmapirs.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.

Thu Mar 24 21:03:42 2005 => File C:\WINDOWS\SYSTEM\chkntfsfat.exe infected by "Trojan.Win32.StartPage.vt" Virus. Action Taken: No Action Taken.

Thu Mar 24 21:03:49 2005 => File C:\WINDOWS\SYSTEM\autodmfp.exe infected by "Trojan-Dropper.Win32.Agent.gp" Virus. Action Taken: No Action Taken.

Thu Mar 24 21:06:05 2005 => File C:\WINDOWS\SYSTEM\dwcrnt.exe infected by "HackTool.Win32.Hidd.h" Virus. Action Taken: No Action Taken.

Thu Mar 24 21:06:16 2005 => File C:\WINDOWS\SYSTEM\AWM226.exe infected by "Trojan.Win32.Dialer.hk" Virus. Action Taken: No Action Taken.

Thu Mar 24 21:06:16 2005 => File C:\WINDOWS\SYSTEM\dosxpd.exe infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: No Action Taken.

Thu Mar 24 21:06:16 2005 => File C:\WINDOWS\SYSTEM\audissrp.exe infected by "Trojan-Clicker.Win32.Agent.cn" Virus. Action Taken: No Action Taken.

Thu Mar 24 21:06:16 2005 => File C:\WINDOWS\SYSTEM\fixmapirs.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.

Thu Mar 24 21:06:16 2005 => File C:\WINDOWS\SYSTEM\chkntfsfat.exe infected by "Trojan.Win32.StartPage.vt" Virus. Action Taken: No Action Taken.

Thu Mar 24 21:06:16 2005 => File C:\WINDOWS\SYSTEM\autodmfp.exe infected by "Trojan-Dropper.Win32.Agent.gp" Virus. Action Taken: No Action Taken.

Thu Mar 24 21:13:24 2005 => File C:\Programme\BearShare\Installer\saveinstwm.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.


Thu Mar 24 21:13:30 2005 => File C:\Programme\BearShare\Installer\BSINSTALL.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Thu Mar 24 21:16:37 2005 => File C:\Programme\AVPersonal\INFECTED\MSMSGS.VIR infected by "Trojan-Downloader.Win32.Zlob.g" Virus. Action Taken: No Action Taken.

Thu Mar 24 21:18:36 2005 => File D:\Download\eDonkey57.exe infected by "not-a-virus:AdWare.Gator.1050" Virus. Action Taken: No Action Taken.

Thu Mar 24 21:20:08 2005 => File D:\Download\iMeshV3.exe infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.

Thu Mar 24 21:20:08 2005 => File D:\Download\eDonkey59c.exe infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.


... sose. Die *.exe datein auf D:\ hab ich schonma gelöscht. Wie siehts auf C:\ aus?

Danke !


cYa

Im abgesicherten Modus ebenfalls die auf C:\ löschen. Dann nochmal scannen und dann auch neues Logfile posten; da muß ebenfalls noch was gemacht werden.
cacatoa

Hallo Equi,

Zitat:

C:\WINDOWS\SYSTEM\dwcrnt.exe infected by "HackTool.Win32.Hidd.h"

These utilities are designed to penetrate remote computers in order to use them as zombies (by using backdoors) or to download other malicious programs to victim machines.

Mein Rat an Dich wäre, Dein System nach folgender Anleitung neu zu installieren, es dient Deiner eigenen Sicherheit:

http://www.trojaner-board.de/showthread.php?t=12154

Da nicht bekannt ist, was bereits bei Dir "angepasst" sein könnte.

dartus

@ dartus:
Der hier ist kein backdoor, sondern malware. Siehe hier.
Grüße cacatoa

erstma danke euch beiden!

hab alle datein, die mir angezeigt wurden gelöscht. Anschließend hab ich das Prog nochma durchlaufen lassen.
Nun wurden mir folgende Datein angezeigt.

File C:\Programme\BearShare\Installer\saveinstwm.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.
File D:\Download\gIRC31.exe tagged as not-a-virus:RiskWare.mIRC.5.9.1. No Action Taken.
File D:\Download\AdWare.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Download\DivX5Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Download\eDobkey\schnell.zip tagged as not-a-virus:RiskWare.Downloader.Url2File.a. No Action Taken.
File D:\Download\ffxp143.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\de_simpsons.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Obowhl ich alle diese Programme als ungefährlich erachte, habe ich sie trotzdem gelöscht.

achja nochwas ...
der Internetzugang wird mir durch eine Eumex ermöglicht (Router). Ich brauche deswegen ja keine Angst vor Backdoorprogrammen haben ?!
Mich haben in letzter Zeit nur immer wieder Werbe-Pop-Up Fenster genervt...

cYa

Mein Rat ist der gleiche, den dartus dir schon gegeben hat, da es sich bei HackTool.Win32.Hidd.h imho sogar um ein rootkit handelt.
Naja, ist dein System. Obwohl, eigentlich nicht mehr...

Zitat:

Zitat von cacatoa

Der hier ist kein backdoor, sondern malware. Siehe hier.

Malware ist der Oberbegriff für 'böse Software', darunter fallen auch Backdoors, die den schadhaften Code ins System schleusen und aktivieren.

Ich denke, ich nutze den Karfreitag, um mich zu geißeln. Soll heißen, meine Lernfähigkeit ist noch nicht ausgereizt....
cacatoa