Hallo zusammen,

seit heute kommen wir hier in der WG zu einer "Schmuddelstartseite". Spywareprogramme haben nichts gefunden. Im logfile von AntiVir habe ich folgendes gefunden: TR/Dldr.agent.ex, ist aber angeblich automatisch gelöscht worden !?

Weiß nicht mehr weiter, bin Halblaie. Bitte um Euere Hilfe!

Danke in voraus


Logfile of HijackThis v1.99.1
Scan saved at 15:22:27, on 07.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svhost.exe
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\system.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\UltimateZip\uzqkst.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\wp\Desktop\Downloads Desktop\Hijack\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pussy-vault.com/archive.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pussy-vault.com/archive.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F3 - REG:win.ini: run=C:\WINDOWS\System32\svhost.exe
O2 - BHO: PopThis BHO - {0549E6CB-9985-42F6-8FD6-4EC017E6AAE1} - C:\Programme\Surfapps.com\PopThis! Free Version\PopThis.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NvCplSystem] C:\WINDOWS\system.exe
O4 - HKLM\..\Run: [SiXPack] SiXPack.exe /minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\\SmartDoctor.exe /start
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip\uzqkst.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {91663649-416A-42A5-8E54-B63C1ECA0548} - C:\Programme\Surfapps.com\PopThis! Free Version\PopThis.dll
O9 - Extra 'Tools' menuitem: PopThis! Options... - {91663649-416A-42A5-8E54-B63C1ECA0548} - C:\Programme\Surfapps.com\PopThis! Free Version\PopThis.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{3DA440E6-EB62-4D21-BD27-050F452902EC}: NameServer = 10.0.1.101
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\fswsclds.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

Hi Du..

GANZ Böser Eintrag !!!

F3 - REG:win.ini: run=C:\WINDOWS\System32\svhost.exe

und Prozess :

C:\WINDOWS\System32\svhost.exe

Lad Dir bitte eScan runter, update und lass im ABGESICHERTEN Modus scannen (eine Anleitung dazu findesz Du in meiner Signatur)

Nach dem Scannen, öffne das Log, durchsuche die Dtaei nach dem Wort "INFECTED" und poste hier die Heuristic, die etwa so aussehen sollte :

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned: xxxxx
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found: xx
.
.
.
.

Poste bitte dazu, was gefunden wurde (also falls ein Virus u.ä. gefunden wurde auch die Heuristic) !!!
Aber ich vemute, der wird da einiges finden, und eine Neuinstallation des Systemes ist unvermeidbar (lies mal meine Signatur zum Thema System neu aufetzen ! Daran auch halten )

Gruß
Andy

Hallo maxmax,

lass bitte folgende Dateien:

C:\WINDOWS\System32\svhost.exe
C:\WINDOWS\system.exe

hier online scannen:

http://virusscan.jotti.org/de

Teile das jeweilige Ergebnis mit.

dartus

@FancyAndy,

erst die beiden Dateien online scannen.

dartus

Zitat:

Zitat von dartus

@FancyAndy,

erst die beiden Dateien online scannen.

dartus

Eigentlich überflüssig, wenn er mit eScan sein System scannt

(sag doch einfach, dass Du zu langsam warst *g* )

@FancyAndy,

Escan ist überflüssig. Nur verlorene Zeit.

dartus

So, ersmal Dank für die schnellen Tips! Ich habe die beiden Dateien prüfen lassen, hier die Ergebnisse:

Für svhost.exe

AntiVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender BehavesLike:Win32.ExplorerInfector gefunden (mögliche Variante)
ClamAV Keine Viren gefunden
Dr.Web Trojan.DownLoader.2102 gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Virus.Win32.Bube.l gefunden
mks_vir Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Scanning, bitte warten...
VBA32 Scanning, bitte warten...


Für system.exe:


AntiVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender BehavesLike:Win32.ExplorerInfector gefunden (mögliche Variante)
ClamAV Keine Viren gefunden
Dr.Web Trojan.DownLoader.2102 gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Virus.Win32.Bube.l gefunden
mks_vir Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Scanning, bitte warten...
VBA32 Scanning, bitte warten...

Norman und VBA32 haben auch nach einiger Zeit nicht geantwortet.

Gibt es noch Hoffnung?

Hallo maxmax,

wie FancyAndy dies schon bemerkte:

1. Downloade Dir escan und befolge genau diese Anleitung (Scan im ABGESICHERTEN MODUS dauert etwa eine Stunde, Optionen „All Local Drives“ und „Scan all Files“), http://www.systemwiederherstellung-d...indows-xp.html
2. starte nach dem Scan wieder in den normalen Modus,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.


dartus

ok, mach ich, wird ne Weile dauern, wir haben hier nur isdn.
Kann es sein, daß ich in den üblichen Suchmaschienen keine Infos mehr zu viren o.ä. kriege???

Zitat:

Kann es sein, daß ich in den üblichen Suchmaschienen keine Infos mehr zu viren o.ä. kriege???

Warum sollte das nicht funktionieren?

dartus

Als ich bei der Suche nach dem bei mir gefundenen Müll die Namen der Viren und Würmer in die Suchmaschienen wg. Infos eingab bekam ich überall 0! Ergebnisse. Ich meine gehört zu haben, daß manche viren den Zugriff auf bestimmte Hilfe-Seiten sperren.

@dartus

sagte doch er solle via escan scannen *g* wußte dass es schlimmer kommt, gespühr für sowas :P

nochmal großes ächz: Beim hochfahren bleibt der Monitor dunkel...erst bei windows startfenster springt er an. Hat jemand einen Tip???
Trau mich nicht im laufenden Betrieb in den abgesicherten Modus zu gehen (wie beschrieben). Hilft ein scan im normalen Modus nichts? Soll ich eigentlich e Scan im normalen oder abgesicherten Modus installieren, oder nur den Scan im abgesicherten machen???

Dank und Gruß

maxmax

Hi

Solange F8 drücken beim hochfahren, bis Du ABGESICHERTEN Modus auswählen kannst...

Du installierst im normalen Modus un updatest dort, jedoch das Scannen bitte im abgesicherten...

Gruß
Andy

Soweit alles ok und erledigt. Nur wie gesagt, beim Hochfahren bleibt unser Monitor dunkel. F8 drücken hilft da leider nicht viel... Wenn ich dann einen Restart drücke und normal hochfahre, dann springt der Monitor beim Windows-Anmelden an . Ich versuche einen alten Röhrenmonitor aufzutreiben, mit dem hat man das hochfahren beobachten können.

Gruß
maxmax