Hallo an alle hier.

Habe dieses Forum nach einigen Tipps durchforstet, aber irgendwie will das ganze nicht richtig fruchten.

Habe schon ausprobiert.
--> Spybot, erkennt,löscht und ist wieder da.
--> Spy sweeper, das selbe in grün

--> dann habe ich mir CWShredder,SpSeHjfix111 heruntergeladen, aber was passiert NIX,beide erkennen nichts.

Habe dann etwas experimentiert.
Mein HijackThis.

Logfile of HijackThis v1.99.1
Scan saved at 15:51:10, on 02.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\PROGRA~1\ahead\NEROTO~1\DRIVES~1.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
C:\WINDOWS\System32\CTFMONSS.EXE
C:\WINDOWS\System32\CSRSSW.EXE
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Dokumente und Einstellungen\Jana Hilger\Desktop\Neuer Ordner\3½-Diskette (A)\HijackThis.exe
C:\WINDOWS\System32\regsvr32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\WINDOWS\system32\pidd.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINDOWS\wtlbass32.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [DrWebScheduler] "F:\Programme\DrWeb for Windows\drwebscd.exe"
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Nero DriveSpeed] C:\PROGRA~1\ahead\NEROTO~1\DRIVES~1.EXE
O4 - HKLM\..\Run: [Online Secuirity] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - HKCU\..\Run: [CTFMONSS] C:\WINDOWS\System32\CTFMONSS.EXE
O4 - HKCU\..\Run: [CSRSSW] C:\WINDOWS\System32\CSRSSW.EXE
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} - http://merchant.eops.de/dialersoftware/cax.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: AOpen NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Unknown owner - F:\Programme\DrWeb for Windows\spidernt.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe


Hoffe auf euere Unterstützung.
Vielen Dank.

Kommander

Zu Entfernen, im ABGESICHERTEN Modus :

O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINDOWS\wtlbass32.dll
O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} - http://merchant.eops.de/dialersoftware/cax.cab

Wenn Du es nicht braucht auch :

O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe

Viel Spaß beim Ausmisten

Ein Scannen mit eScan (siehe Signatur) kann auch net schaden :-)

@FancyAndy
ich war zuu langsam .

Zitat:

O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe

Das könnte man behalten: es ist bequem und harmlos .

Zitat:

Zitat von Rene-gad

@FancyAndy
ich war zuu langsam .

.

Sagte ja, wenn nicht benötigt runner damit :P - alles böse, alles evil. Ban them all, muahahaha, Sorry *räusper*
Braucht alles unnötig Speicher

Mehr möchte ich net dazu sagen

Hallo Kommander,

führe gem. Gigamail den Escan aus.

Das größte Prblem scheint das zu sein:
O4 - HKLM\..\Run: [Online Secuirity] C:\WINDOWS\svchost.exe
http://de.trendmicro-europe.com/ente...TROJ_TONEROK.B

dartus

Hallo Leute

Habe den Escan abgeschlossen und bin gerade aus dem Koma erwacht.

Habe meinen Müll als zwei TXT - Datei angehängt.

Mir kam schon der Gedanke, format oder sowas, geht leider net. Ich muss mir die Zeit nehmen und dieses Zeugs killen.

Für Tipps und Ratschläge bin ich dankbar.

Jetzt aber ins Bett.

Hi,

Du hast einiges im System. Ich würde mit eScan mal checken ob ein Neuaufsetzen nötig ist. Setze die Haken bei All Local Drives und All Scan Files

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Edit:@ Fancy Andy das reicht bei weitem nicht aus

@kommander

Zitat:

Habe dieses Forum nach einigen Tipps durchforstet, aber irgendwie will das ganze nicht richtig fruchten.

Sieht man .

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Es fehlt WinXP SP2
Du musst umgehend entweder eine CD-ROM Bestellen oder SP 2 Direkt von Microsoft Homepage downloaden

Zitat:

C:\WINDOWS\System32\CTFMONSS.EXE
C:\WINDOWS\System32\CSRSSW.EXE
O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINDOWS\wtlbass32.dll
O4 - HKCU\..\Run: [CTFMONSS] C:\WINDOWS\System32\CTFMONSS.EXE
O4 - HKCU\..\Run: [CSRSSW] C:\WINDOWS\System32\CSRSSW.EXE
O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} - h**p://merchant.eops.de/dialersoftware/cax.cab

Hier handelt sich um Trojaner http://=http://www.sophos.de/virusin.../trojcwsf.html und wahrscheinlich, Dialer.
Wenn du deine Zeit schätzst, sichere deine persönlichen Daten und setze deinen PC neu auf. Dabei wechsle alle Passwörter.
Wenn du viel Zeit übrig hast, lasse eScan nach der Anleitung im abgesicherten Modus laufen: http://www.trojaner-board.de/42731-escan-anleitung.html
Ergebnisse inkl. Pfäde hier posten.

Hi

Dein System ist verseucht, ich würde entweder neuformatieren (Format:C), oder AVPE deinstallieren und die Kasperky Trialversion installieren, diese Installation im abgesicherten Modus von Windows XP durchführen, danach scannen und bereinigen lassen.
Das System wird dadurch zwar nicht vertrauenswürdiger, aber Malwareschleuder dürfte es auch keine mehr sein.

@ atomic:

Dann lies mal warum eine Bereinigung scheitern muss und die Neuinstallation der einzig sinnige Weg ist:

http://www.mathematik.uni-marburg.de...al.html#sec2.5

Hi

Habe Heute schon irgendwo gelesen, das der von dir beanstandete Malware-Alarm ein Bug von Escan sein soll
Bedenke aber, das dein System verseucht war und somit nicht unbedingt für Internetbanking usw. geeignet ist.
Einige Tipps, wie ändern der Passwörter usw. würde ich aber schleunigst erledigen.

@ atomic

Lies den Thread nochmal.
Das Problem liegt hier:

C:\WINDOWS\sherlok2.exe infected by "Backdoor.Win32.Tonerok.d" Virus

und nicht hier bei der Adware 180Solutions oder VX2 .Das ist sollte es kein Fehlalarm sein harmlos.Was man von dem Backdoor nicht behaupten kann.
Deswegen Neuaufsetzen!

@ll
Kommander hat mir per PM mitgeteilt: er/sie hat des System neu aufgespielt .