Hallo,

habe das gleiche Problem mit dem blinkenden gelben Dreieck. Taucht immer wieder unten in der Taskleiste auf. Wenn man draufklickt steht auf enlisch dort, dass angeblich Spyprogramme drauf sind, die meinen PC langsamer machen und mehrere Verweise auf Antispyprogramme die etwas kosten. Kann jemand helfen!?

Hallo Achim,
schau mal in der regedit nach!! Einfach start dann Ausführen und dort regedit eigeben!!!
Gruß
jcp

Zitat:

Zitat von Jaga

Hallo Achim,

schlage mich gerade mich dem gleichen Problem herum. Wp.exe und wp.jpg habe ich auch gefunden und gelöscht. hat "Hijack This" jedoch nicht angezeigt. Den Eintrag System ebensowenig. Wo finde ich das?

Viele Grüße
JAGA

Also bei mir hat es genauso hingehauen!
Danke der unter mir dessen Namen ich vergessen hab^^

Hi!

Die nächste Nervensäge, die sich den smitfraud-Trojaner eingefangen hat. Das System funktioniert nach "Systemwiederherstellung" zu einem früheren Datum wieder. Aber wie weiß ich, ob sich der Trojaner noch unbemerkt im Hintergrund tummelt?

Hab mal sicherheitshalber mein HiJack-Logfile angehängt und wäre wirklich dankbar, wenn da mal einer sich die Mühe macht und drüberschaut, ob noch Trojaner-Reste vorhanden sind.

Besten Dank schon mal!

fiddlestix

Logfile of HijackThis v1.99.1
Scan saved at 19:23:33, on 20.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Logitech\MediaLife\MediaLifeService.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Pinnacle\MediaCenter\Remote\Remoterm.exe
C:\WINDOWS\System32\gah95on6.exe
C:\WINDOWS\hxvsf.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\WINDOWS\System32\scrccsp.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\StarOffice7\program\soffice.exe
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
c:\progra~1\pinnacle\shared~1\programs\medias~1\pmshost.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R3 - URLSearchHook: (no name) - _{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)
O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Programme\CxtPls\cxtpls.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\PROGRA~1\YOURSI~1\ysb.dll (file missing)
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [CorelDRAW ESSENTIALS14] C:\Programme\Corel\CorelDRAW ESSENTIALS 2\Register\Registration.exe /title="CorelDRAW ESSENTIALS" /date=042605 serial=ES02WBG-0090091-CML
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Logitech\MediaLife\MediaLifeService.exe"
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [PMCRemote] C:\Programme\Pinnacle\MediaCenter\Remote\Remoterm.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Preview AdService] C:\Program Files\Preview AdService\PrevAdServ.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [EbatesMoeMoneyMaker0] "C:\Programme\Ebates_MoeMoneyMaker\EbatesMoeMoneyMaker0.exe"
O4 - HKLM\..\Run: [navapp] C:\Programme\NavExcel\NavHelper\v2.0.4d\navapp.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
O4 - HKLM\..\Run: [Hjljp] C:\Program Files\Ovemmh\Qlsmb.exe
O4 - HKLM\..\Run: [2cun3] C:\WINDOWS\hxvsf.exe
O4 - HKLM\..\Run: [tupkvex] C:\WINDOWS\tupkvex.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [5F2k37V] imaeman.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [KotqRXZFV] scrccsp.exe
O4 - Startup: StarOffice 7.lnk = C:\Programme\StarOffice7\program\quickstart.exe
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: MUSICMATCH MX Web Player - {d81ca86b-ef63-42af-bee3-4502d9a03c2d} - http://wwws.musicmatch.com/mmz/openWebRadio.html (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Programme\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (file missing) (HKCU)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Do...bridge-c11.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/...sb_1002245.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - - c:\progra~1\pinnacle\mediac~1\epgspo~2.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\progra~1\pinnacle\shared~1\programs\medias~1\pmshost.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Hallo fiddlestix,

die Systemwiederherstellung ist leider kein Allheilmittel. Es ist weitere Malware auf deinem System weiterhin aktiv.

Führe zunächst dies aus:
Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log im Ordner C:\bases_x -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Hi Cidre,
habe mir auch das Trojan-Spy.HTML.Smitfraud.c eingefangen. Mit verschiedenen Antivirenprogramme hoffe ich das alles weg ist, das ärgerlich ist nun das der Desktop schwarz ist. Unter Anzeige ist kein Desktop mehr, Das mit der Taskleiste verschwinden lassen habe ich auch schon ausprobiert. Geht auch nicht.

Kann mir jemand helfen. Ich verzweifle langsam.
Apropos: Window Media Player funktioniert auch nicht mehr.
Er meldet : Interner Anwendungsfehler.
Danke Euch echt für jede Hilfe

Hi Cidre,

Danke für die Tips. Hab soweit alles hingekriegt. Hier ist der ewig lange Logfile. De ganzen Dateien mit Pfadangaben kann ich ja löschen (oder ist da was dabei, was man braucht??). Aber was mach ich bei "System found infected".

Bitte nochmals ein paar Tipps!

Ganz herzlichen Dank

fiddlestix

File C:\ISP\AOL-Mediamarkt-9.0\AOLSetup.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
C:\WINDOWS\System32\2b3fsk0h.dll infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken
File C:\WINDOWS\System32\gah95on6.exe infected by "not-a-virus:AdWare.Sahat.n" Virus. Action Taken: No Action Taken
File C:\WINDOWS\System32\scrccsp.exe infected by "not-a-virus:AdWare.Apropos.i" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\gah95on6.exe infected by "not-a-virus:AdWare.Sahat.n" Virus. Action Taken: No Action Taken
File C:\WINDOWS\system32\scrccsp.exe infected by "not-a-virus:AdWare.Apropos.i" Virus. Action Taken: No Action Taken
System found infected with DyFuCA Spyware/Adware ({00000010-6f7d-442c-93e3-4a4827c2e4c8})! Action taken: No Action Taken.
Wed Apr 20 20:39:23 2005 => File System Found infected by "DyFuCA Spyware/Adware" Virus. Action Taken: No Action Taken.
System found infected with IstBAR Spyware/Adware ({0985c112-2562-46f2-8da6-92648ba4630f})! Action taken: No Action Taken.
File System Found infected by "IstBAR Spyware/Adware" Virus. Action Taken: No Action Taken.
System found infected with IstBAR Spyware/Adware ({67907b3c-a6ef-4a01-99ad-3fcd5f526429})! Action taken: No Action Taken.
File System Found infected by "IstBAR Spyware/Adware" Virus. Action Taken: No Action Taken.
System found infected with IstBAR Spyware/Adware ({86227d9c-0efe-4f8a-aa55-30386a3f5686})! Action taken: No Action Taken.
File System Found infected by "IstBAR Spyware/Adware" Virus. Action Taken: No Action Taken.
System found infected with SideFind Spyware/Adware ({8cba1b49-8144-4721-a7b1-64c578c9eed7})! Action taken: No Action Taken.
File System Found infected by "SideFind Spyware/Adware" Virus. Action Taken: No Action Taken.
System found infected with SideFind Spyware/Adware ({58634367-d62b-4c2c-86be-5aac45cdb671})! Action taken: No Action Taken.
File System Found infected by "SideFind Spyware/Adware" Virus. Action Taken: No Action Taken.
System found infected with SideFind Spyware/Adware ({d0288a41-9855-4a9b-8316-babe243648da})! Action taken: No Action Taken.
File System Found infected by "SideFind Spyware/Adware" Virus. Action Taken: No Action Taken.
System found infected with SideFind Spyware/Adware ({339d8aff-0b42-4260-ad82-78ce605a9543})! Action taken: No Action Taken.
File System Found infected by "SideFind Spyware/Adware" Virus. Action Taken: No Action Taken.
System found infected with SideFind Spyware/Adware ({a36a5936-cfd9-4b41-86bd-319a1931887f})! Action taken: No Action Taken.
File System Found infected by "SideFind Spyware/Adware" Virus. Action Taken: No Action Taken.
System found infected with SideFind Spyware/Adware ({10e42047-deb9-4535-a118-b3f6ec39b807})! Action taken: No Action Taken.
File System Found infected by "SideFind Spyware/Adware" Virus. Action Taken: No Action Taken.
System found infected with SideFind Spyware/Adware ({a3fdd654-a057-4971-9844-4ed8e67dbbb8})! Action taken: No Action Taken.
File System Found infected by "SideFind Spyware/Adware" Virus. Action Taken: No Action Taken.
System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
System found infected with BlazeFind Spyware/Adware ({15ad4789-cdb4-47e1-a9da-992ee8e6bad6})! Action taken: No Action Taken.
File System Found infected by "BlazeFind Spyware/Adware" Virus. Action Taken: No Action Taken.
System found infected with Adintelligence.AproposToolbar Spyware/Adware ({016235be-59d4-4ceb-add5-e2378282a1d9})! Action taken: No Action Taken.
File System Found infected by "Adintelligence.AproposToolbar Spyware/Adware" Virus. Action Taken: No Action Taken
System found infected with sidefind Spyware/Adware! Action taken: No Action Taken.
File System Found infected by "sidefind Spyware/Adware" Virus. Action Taken: No Action Taken.
System found infected with powerscan Spyware/Adware! Action taken: No Action Taken.
File System Found infected by "powerscan Spyware/Adware" Virus. Action Taken: No Action Taken.
System found infected with power scan Spyware/Adware! Action taken: No Action Taken.
File System Found infected by "power scan Spyware/Adware" Virus. Action Taken: No Action Taken.
System found infected with ameopt Spyware/Adware! Action taken: No Action Taken.
File System Found infected by "ameopt Spyware/Adware" Virus. Action Taken: No Action Taken.
System found infected with kapabout Spyware/Adware! Action taken: No Action Taken.
File System Found infected by "kapabout Spyware/Adware" Virus. Action Taken: No Action Taken.
System found infected with ist Spyware/Adware! Action taken: No Action Taken.
File System Found infected by "ist Spyware/Adware" Virus. Action Taken: No Action Taken.
System found infected with avenue media Spyware/Adware! Action taken: No Action Taken.
File System Found infected by "avenue media Spyware/Adware" Virus. Action Taken: No Action Taken.
System found infected with yoursitebar Spyware/Adware! Action taken: No Action Taken.
File System Found infected by "yoursitebar Spyware/Adware" Virus. Action Taken: No Action Taken.
System found infected with elitetoolbar Spyware/Adware! Action taken: No Action Taken.
File System Found infected by "elitetoolbar Spyware/Adware" Virus. Action Taken: No Action Taken.
System found infected with WindUpdate Spyware/Adware (ide21201.vxd)! Action taken: No Action Taken.
File System Found infected by "WindUpdate Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\70tovmto.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken
File C:\WINDOWS\System32\2b3fsk0h.dll infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken
File C:\WINDOWS\System32\2b3fsk0h.dll infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken
File C:\WINDOWS\System32\bln02nqv.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken
File C:\DOKUME~1\Moni\LOKALE~1\Temp\eBHKPA.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken
File C:\DOKUME~1\Moni\LOKALE~1\Temp\geJatO.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken
File C:\DOKUME~1\Moni\LOKALE~1\Temp\istsv_.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken
File C:\DOKUME~1\Moni\LOKALE~1\Temp\noFDEL.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken
C:\DOKUME~1\Moni\LOKALE~1\Temp\OBZYXZ.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\SahUpdate\aj8sml3fo_.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken
C:\DOKUME~1\Moni\LOKALE~1\Temp\SahUpdate\h63v2629j_.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken
File C:\DOKUME~1\Moni\LOKALE~1\Temp\SahUpdate\lcp4q80t9_.dll infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\SahUpdate\setup4003.cab infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken
File C:\DOKUME~1\Moni\LOKALE~1\Temp\SahUpdate\uu1en13ec_.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp1.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp11.tmp infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp12.tmp infected by "Trojan-Clicker.Win32.Delf.ca" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp16.tmp infected by "Trojan-Dropper.Win32.Small.vn" Virus. Action Taken: No Action Taken.
Scanning File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp17.tmp
Scanning File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp18.tmp
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp18.tmp infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp19.tmp infected by "Trojan-Clicker.Win32.Delf.ca" Virus. Action Taken: No Action Taken
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp1C.tmp infected by "Trojan.Win32.Hpt.j" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp1D.tmp
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp1D.tmp infected by "Trojan-Clicker.Win32.Small.fb" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp2.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp21.tmp infected by "Trojan-Dropper.Win32.Small.vn" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp23.tmp infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp24.tmp infected by "Trojan-Clicker.Win32.Delf.ca" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp27.tmp infected by "Trojan.Win32.Hpt.j" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp2C.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp2E.tmp infected by "Trojan-Dropper.Win32.Small.vn" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp30.tmp infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp31.tmp infected by "Trojan-Clicker.Win32.Delf.ca" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp35.tmp infected by "Trojan.Win32.Hpt.j" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp39.tmp infected by "Trojan-Dropper.Win32.Small.vn" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp3B.tmp infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp3C.tmp infected by "Trojan-Clicker.Win32.Delf.ca" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp48.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp5F.tmp infected by "Trojan-Dropper.Win32.Small.ue" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp60.tmp infected by "Trojan-Downloader.Win32.Murlo.p" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp61.tmp infected by "Trojan-Dropper.Win32.Small.ue" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp62.tmp infected by "Trojan-Downloader.Win32.Murlo.b" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp66.tmp infected by "Trojan-Dropper.Win32.Small.vn" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp68.tmp infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp69.tmp infected by "Trojan-Clicker.Win32.Delf.ca" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp7.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp8.tmp infected by "Trojan-Downloader.Win32.Murlo.p" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp9.tmp infected by "Trojan.Win32.Hpt.j" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmpD.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmpE.tmp infected by "Trojan-Downloader.Win32.Murlo.w" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmpF.tmp infected by "Trojan-Dropper.Win32.Small.vn" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\uninstall.exe infected by "not-a-virus:AdWare.ToolBar.EliteBar.q" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Moni\LOKALE~1\Temp\wldr.dll infected by "Trojan-Downloader.Win32.Agent.kf" Virus. Action Taken: No Action Taken
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\eBHKPA.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\geJatO.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\istsv_.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\noFDEL.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\OBZYXZ.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\SahUpdate\aj8sml3fo_.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\SahUpdate\h63v2629j_.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\SahUpdate\lcp4q80t9_.dll infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\SahUpdate\setup4003.cab infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\SahUpdate\uu1en13ec_.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp1.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp11.tmp infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp12.tmp infected by "Trojan-Clicker.Win32.Delf.ca" Virus. Action Taken: No Action Taken
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp16.tmp infected by "Trojan-Dropper.Win32.Small.vn" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp19.tmp infected by "Trojan-Clicker.Win32.Delf.ca" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp1C.tmp infected by "Trojan.Win32.Hpt.j" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp1D.tmp infected by "Trojan-Clicker.Win32.Small.fb" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp2.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp21.tmp infected by "Trojan-Dropper.Win32.Small.vn" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp23.tmp infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp2C.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp2E.tmp infected by "Trojan-Dropper.Win32.Small.vn" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp30.tmp infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp35.tmp infected by "Trojan.Win32.Hpt.j" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp24.tmp infected by "Trojan-Clicker.Win32.Delf.ca" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp27.tmp infected by "Trojan.Win32.Hpt.j" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp39.tmp infected by "Trojan-Dropper.Win32.Small.vn" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp3B.tmp infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp3C.tmp infected by "Trojan-Clicker.Win32.Delf.ca" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp48.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp5F.tmp infected by "Trojan-Dropper.Win32.Small.ue" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp60.tmp infected by "Trojan-Downloader.Win32.Murlo.p" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp61.tmp infected by "Trojan-Dropper.Win32.Small.ue" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp62.tmp infected by "Trojan-Downloader.Win32.Murlo.b" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp66.tmp infected by "Trojan-Dropper.Win32.Small.vn" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp68.tmp infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp69.tmp infected by "Trojan-Clicker.Win32.Delf.ca" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp7.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp8.tmp infected by "Trojan-Downloader.Win32.Murlo.p" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp9.tmp infected by "Trojan.Win32.Hpt.j" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmpD.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmpE.tmp infected by "Trojan-Downloader.Win32.Murlo.w" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmpF.tmp infected by "Trojan-Dropper.Win32.Small.vn" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\uninstall.exe infected by "not-a-virus:AdWare.ToolBar.EliteBar.q" Virus. Action Taken: No Action Taken
File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\wldr.dll infected by "Trojan-Downloader.Win32.Agent.kf" Virus. Action Taken: No Action Taken.

Hallo zusammen,

hab mit den Tipps hier auch nur bedingt was anfangen können. Die wp.bmp konnte ich beispielsweise löschen, die wp.exe nicht (angeblich ist das Programm in Benutzung).

Und auch sonst weiss ich nicht, wo sich der Trojaner noch tummelt.

Soll ich mal den Logfile von HijackThis posten ?

Vielen Dank schonmal und Gruß

tuigirl

@tuigirl
Du hast ein anderes Problem, mache deshalb ein eigenes Thema auf
@fidlestix
Boote mal im abgesicherten Modus und lösche alle TIF.

@Felix1: Aber ich hatte auch diese Meldung auf dem Desktop bezüglich smitfraud...

Okay, wenn du meinst, dann mache heute Abend einen neuen Thread auf. Dann mit HijackThis-Log ?

Gruß

tuigirl

hey leute me self hat auch das prob.. ich kann keine neue startseite angeben und auch diesen dummen toolbar bekomme ich net weg. wäre echt coll wenn ihr mir helfen könnted.

P.S.
bin auch nen abzoluter newbie

Hallo Leute,
habe soeben den trojaner-spy.html Smitfraud.c hoffentlich runtergeschmissen.
konnte nicht mehr online gehn und hatte auch immer diese Nachricht auf dem Desktop.
Ich hatte einfach diese Policies datei runtergeschmissen und S
ystemwiederherstellung gemacht, danach hat wieder alles gefunzt. Allerdings weiß ich nicht, ob das Teil wirklich von der Kiste verschwunden ist.
Hier mein log:
Logfile of HijackThis v1.98.2
Scan saved at 15:59:16, on 10.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\helpctr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\name\Eigene Dateien\Eigene Bilder\DateienvonFrank\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{942A70E4-15B4-43D1-84A6-BAD34938F093}: NameServer = 217.237.151.161 217.237.151.33
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA0CC117-25B2-4DFD-B585-8E5E3A38EF1B}: NameServer = 192.168.120.252,192.168.120.253

das is mein aktueller log, vielen Dank im Vorraus

@ Fiat770

Dein Log-File sieht zumindest sauber aus, allerdings verwendest du noch eine alte HJT Version und dein System is nicht up to date, ob dein System letztendlich sauber ist, das kan dir keiner bestätigen.

Zur Sicherheit mal dies ausführen:
Lade und scanne mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information:
Rechtsklick auf die Find.bat -> Ziel speichern unter… z.B. 'C:\Find.bat' -> Find.bat doppelklicken und den Scan abwarten -> den Inhalt der automatisch erstellten C:\eScan_neu.txt hier posten

Hallo,

biite um Hilfe, habe ebenfalls den Trojaner-Spy.HTML Smitfraud.c.
Habe Antivir bereits drüberlaufen lassen.
Hier ist mein Hijacklog:

Logfile of HijackThis v1.99.1
Scan saved at 18:58:57, on 10.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\Programme\Tiny Personal Firewall\persfw.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\r_server.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\PDesk\PDesk.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\WinPortrait\wpctrl.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Ravisent Shared\cinetray.exe
C:\Programme\Omega Research\Program\orschd.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\addrp32.exe
C:\WINNT\system32\winne32.exe
C:\Programme\PowerArchiver\POWERARC.EXE
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\bbuqn.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\bbuqn.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\bbuqn.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\bbuqn.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\bbuqn.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\bbuqn.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\bbuqn.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {46EB3152-60D9-75C5-53DE-C8F9AB8E88C5} - C:\WINNT\system32\wintz32.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PivotSoftware] "C:\Programme\WinPortrait\wpctrl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [winne32.exe] C:\WINNT\system32\winne32.exe
O4 - HKLM\..\RunOnce: [addrp32.exe] C:\WINNT\addrp32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Check for TWS Updates.lnk = C:\JTS\WiseUpdt.exe
O4 - Startup: Omega Research Task Scheduler.lnk = C:\Programme\Omega Research\Program\orschd.exe
O4 - Global Startup: Cinetray.lnk = C:\Programme\Gemeinsame Dateien\Ravisent Shared\cinetray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Microsoft AntiSpyware helper - {46C06989-42A8-48C4-8F6D-9B6783DB2820} - C:\WINNT\system32\wldr.dll (file missing)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {46C06989-42A8-48C4-8F6D-9B6783DB2820} - C:\WINNT\system32\wldr.dll (file missing)
O9 - Extra button: Microsoft AntiSpyware helper - {46C06989-42A8-48C4-8F6D-9B6783DB2820} - C:\WINNT\system32\wldr.dll (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {46C06989-42A8-48C4-8F6D-9B6783DB2820} - C:\WINNT\system32\wldr.dll (file missing) (HKCU)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/184467c80e78675...dxIE601_de.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.download-url.de/StarInstall.ocx
O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6F7B8E0-2195-4455-B5BC-0E769C9D4645}: NameServer = 192.168.5.1
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\system32\sysho.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe
O23 - Service: Tiny Personal Firewall (PersFw) - Tiny Software - C:\Programme\Tiny Personal Firewall\persfw.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINNT\system32\r_server.exe" /service (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe


Herzlichen Dank

hallo,

kann mich der anfrage von rionil nur anschließen. ich habe jetzt auch einige beiträge zu diesem thema gelesen. jedoch fehlt mir irgendwie der durchblick, wie im vorgehen muss. daher wäre auch ich sehr dankbar für jegliche hilfe. gibt es vielleicht ein gute anleitung oder sogar ein tool?

mein log-file schicke ich auch mal mit:

Logfile of HijackThis v1.99.1
Scan saved at 19:38:30, on 10.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\shnlog.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Dokumente und Einstellungen\Fabian\Eigene Dateien\hijack\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\popuper.exe
C:\WINDOWS\System32\intmonp.exe
C:\WINDOWS\regedit.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.quicknavigate.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qfind.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qfind.net/search.php?qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://qfind.net/bar/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qfind.net/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qfind.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.quicknavigate.com/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.qfind.net/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.qfind.net/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.quicknavigate.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.quicknavigate.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.qfind.net/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TY...lion&pf=laptop
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\WINDOWS\System32\hpB8E0.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [HPHUPD05] c:\Programme\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [run32] C:\WINDOWS\System32\diagspool.exe
O4 - HKLM\..\Run: [hostdatax] C:\WINDOWS\System32\logsmss32.exe %srun%
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [apphw32.exe] C:\WINDOWS\apphw32.exe
O4 - HKLM\..\Run: [ipej32.exe] C:\WINDOWS\ipej32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [dirlog] C:\WINDOWS\System32\diagspool.exe
O4 - HKCU\..\Run: [spooldirx] C:\WINDOWS\System32\logsmss32.exe %srun%
O4 - HKCU\..\Run: [WindowsFY] c:\bsw.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VPN Client.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Microsoft AntiSpyware helper - {8F0A4B01-55FF-48A1-B650-C81C997F45DA} - C:\WINDOWS\System32\wldr.dll (file missing)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {8F0A4B01-55FF-48A1-B650-C81C997F45DA} - C:\WINDOWS\System32\wldr.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Microsoft AntiSpyware helper - {8F0A4B01-55FF-48A1-B650-C81C997F45DA} - C:\WINDOWS\System32\wldr.dll (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {8F0A4B01-55FF-48A1-B650-C81C997F45DA} - C:\WINDOWS\System32\wldr.dll (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C578A18-F549-424A-AA6D-50E873D1FC14}: NameServer = 81.209.208.13 83.133.0.13
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ntgf.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

gruß christoph