Hallo Ihr,

Ich habe versucht eure Tutorials zu machen aber ich hab glaub ich den ganzen rechner voller Trojaner. Könnt ihr meine HijackThis Logfile mal ansehen. Vielleicht könnt ihr mir sagen welche "Häckchen ich setzten" muss um die Dinger wieder los zu werden. Vielen vielen dank schonmal im voraus.

Die Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 23:35:37, on 26.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Puzzle\LOKALE~1\Temp\Rar$EX00.625\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.de/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Microsoft Update Machine] winnie.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winnie.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] winnie.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microtek Scanner Finder.lnk = C:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O20 - Winlogon Notify: MCPClient - C:\Programme\Gemeinsame Dateien\Stardock\mcpstub.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Wintab32 - Unknown owner - C:\WINDOWS\system32\Wintab32.exe



Danke Andreas

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.de/
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Wintab32 - Unknown owner - C:\WINDOWS\system32\Wintab32.exe

Im Übringen was hasten du für Scanner?

Ich dreh noch durch

@AoH|Tharall
Eine konkrete Frage an dich:
Was heißt fixen?
Ich bitte um eine Antwort!

Wenn du es nicht weißt, hör auch schlechte Ratschläge zu geben!

Ähm fixen === entfernen oder irre ich mich?

@Gala
Überprüfe die Dateien

Zitat:

c:\Windows\System32\winnie.exe
C:\WINDOWS\system32\Wintab32.exe
C:\WINDOWS\system32\Userinit.exe

online bei http://virusscan.jotti.org.
Falls du die Dateien nicht finden kannst, nimm bitte die folgenden Einstellungen vor:
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren


Alternativ bzw. falls die Datei nicht vorhanden ist:
Lade eScan herunter und scanne dein System gemäß dieser Anleitung im abgesicherten Modus (alternativer Downloadlink).
Wichtig: Arbeite die einzelnen Schritte der Anleitung aufmerksam ab. eScan muss ins Verzeichnis c:\bases_x entpackt werden, eScan muss vor dem Scan aktualisiert werden und die Haken müssen so, wie es auf den Bildern zu sehen ist, gesetzt sein.
Speichere außerdem diese Datei mittels Rechtsklick-> "Ziel speichern unter..." auf deiner Festplatte. Führe sie nach dem Scan mit eScan aus (Doppelklick). Danach solltest du die Datei c:\eScan_neu.txt auf deiner Festplatte finden. Den Inhalt dieser Datei postest du dann bitte in diesen Thread.

@AoH|Tharall
Ich möchte es genauer wissen. Was passiert, wenn du z.B. einen O4-Eintrag fixt?

Hast dus geschafft Gala?

@AoH|Tharall
Beantworte bitte meine Frage!

@Gala
Mach bitte das, was ich geschrieben habe. Auch wenn es nicht immer so ist, so kann man doch in diesem Fall von den Postingzahlen auf das Wissen des Users schließen.

Hallo Ihr,

hab gestern Nach den Scan geamcht und das ist dabei rausgekommen. Schaut doch mal bitt drüber... Vielen dank!!!

eScan_log:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Apr 27 00:15:16 2005 => File C:\WINDOWS\system32\winnie.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Wed Apr 27 00:15:27 2005 => System found infected with SideFind Spyware/Adware ({8cba1b49-8144-4721-a7b1-64c578c9eed7})! Action taken: No Action Taken.
Wed Apr 27 00:15:27 2005 => File System Found infected by "SideFind Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed Apr 27 00:15:27 2005 => System found infected with SideFind Spyware/Adware ({10e42047-deb9-4535-a118-b3f6ec39b807})! Action taken: No Action Taken.
Wed Apr 27 00:15:27 2005 => File System Found infected by "SideFind Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed Apr 27 00:15:28 2005 => System found infected with istbar Spyware/Adware! Action taken: No Action Taken.
Wed Apr 27 00:15:28 2005 => File System Found infected by "istbar Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed Apr 27 00:15:28 2005 => System found infected with ameopt Spyware/Adware! Action taken: No Action Taken.
Wed Apr 27 00:15:28 2005 => File System Found infected by "ameopt Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed Apr 27 00:15:28 2005 => System found infected with saap Spyware/Adware! Action taken: No Action Taken.
Wed Apr 27 00:15:28 2005 => File System Found infected by "saap Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed Apr 27 00:16:02 2005 => File C:\WINDOWS\alk.exe infected by "Trojan.Win32.LowZones.an" Virus. Action Taken: No Action Taken.
Wed Apr 27 00:16:03 2005 => File C:\WINDOWS\gedichte.exe41.exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.
Wed Apr 27 00:16:07 2005 => File C:\WINDOWS\unstall.exe infected by "not-a-virus:AdWare.MediaMotor.a" Virus. Action Taken: No Action Taken.
Wed Apr 27 00:16:09 2005 => File C:\WINDOWS\ysb.exe infected by "Trojan-Downloader.NSIS.Gen" Virus. Action Taken: No Action Taken.
Wed Apr 27 00:35:48 2005 => File C:\Dokumente und Einstellungen\Puzzle\Desktop\hijackthis\backups\backup-20050419-184510-245.dll infected by "not-a-virus:AdWare.WinAD.ak" Virus. Action Taken: No Action Taken.
Wed Apr 27 00:40:58 2005 => File C:\Dokumente und Einstellungen\Puzzle\msdirectx.sys infected by "Trojan.Win32.Rootkit.h" Virus. Action Taken: No Action Taken.
Wed Apr 27 00:50:20 2005 => File C:\Program Files\Media Access\MediaAccC.dll infected by "not-a-virus:AdWare.WinAD.am" Virus. Action Taken: No Action Taken.
Wed Apr 27 00:50:21 2005 => File C:\Program Files\Media Access\MediaAccK.exe infected by "not-a-virus:AdWare.WinAD.am" Virus. Action Taken: No Action Taken.
Wed Apr 27 01:00:05 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Wed Apr 27 01:01:56 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Wed Apr 27 01:01:56 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Wed Apr 27 01:01:56 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GController.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Wed Apr 27 01:01:56 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
Wed Apr 27 01:01:56 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Wed Apr 27 01:01:56 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Wed Apr 27 01:01:56 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Wed Apr 27 01:01:56 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GObjs.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Wed Apr 27 01:01:56 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Wed Apr 27 01:01:56 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Wed Apr 27 01:01:56 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Wed Apr 27 01:02:05 2005 => Scanning File C:\Programme\Gemeinsame Dateien\eAcceleration\maybeinfectedinfolite.htm
Wed Apr 27 01:02:09 2005 => File C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Wed Apr 27 01:02:09 2005 => File C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Wed Apr 27 01:02:09 2005 => File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Wed Apr 27 01:02:09 2005 => File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
Wed Apr 27 01:02:09 2005 => File C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Wed Apr 27 01:02:09 2005 => File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe infected by "not-a-virus:AdWare.Gator.6034" Virus. Action Taken: No Action Taken.
Wed Apr 27 01:05:33 2005 => File C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Wed Apr 27 01:47:00 2005 => File C:\RECYCLER\S-1-5-21-1220945662-920026266-725345543-500\Dc1.dll infected by "not-a-virus:AdWare.WebSearch.af" Virus. Action Taken: No Action Taken.
Wed Apr 27 01:47:01 2005 => File C:\System Volume Information\_restore{A41CCD62-86F1-44B0-AAD2-3652A3B83B76}\RP1\A0000004.exe infected by "Trojan.Win32.LowZones.an" Virus. Action Taken: No Action Taken.
Wed Apr 27 01:47:01 2005 => File C:\System Volume Information\_restore{A41CCD62-86F1-44B0-AAD2-3652A3B83B76}\RP1\A0000005.exe infected by "Trojan-Downloader.Win32.Small.asf" Virus. Action Taken: No Action Taken.
Wed Apr 27 01:47:05 2005 => File C:\tek9.exe infected by "Trojan-Proxy.Win32.Ranky.ba" Virus. Action Taken: No Action Taken.
Wed Apr 27 01:50:14 2005 => File C:\WINDOWS\alk.exe infected by "Trojan.Win32.LowZones.an" Virus. Action Taken: No Action Taken.
Wed Apr 27 01:50:19 2005 => File C:\WINDOWS\Downloaded Program Files\WinCtlAdX.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.
Wed Apr 27 01:53:03 2005 => File C:\WINDOWS\gedichte.exe41.exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.
Wed Apr 27 02:05:09 2005 => File C:\WINDOWS\unstall.exe infected by "not-a-virus:AdWare.MediaMotor.a" Virus. Action Taken: No Action Taken.
Wed Apr 27 02:05:16 2005 => File C:\WINDOWS\ysb.exe infected by "Trojan-Downloader.NSIS.Gen" Virus. Action Taken: No Action Taken.
Wed Apr 27 03:14:12 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Apr 27 00:16:09 2005 => File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Wed Apr 27 00:38:42 2005 => File C:\Dokumente und Einstellungen\Puzzle\Desktop\xampp-win32-1.4.12-installer.exe tagged as not-a-virus:RiskWare.Tool.PrcView.3725. No Action Taken.
Wed Apr 27 00:55:48 2005 => Scanning File C:\Programme\Adobe\InDesign CS\Plug-Ins\Filters\Tagged Text Attributes.apln
Wed Apr 27 00:55:48 2005 => Scanning File C:\Programme\Adobe\InDesign CS\Plug-Ins\Filters\Tagged Text Export Filter.apln
Wed Apr 27 00:55:48 2005 => Scanning File C:\Programme\Adobe\InDesign CS\Plug-Ins\Filters\Tagged Text Import Filter.apln
Wed Apr 27 02:05:16 2005 => File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Wed Apr 27 02:14:50 2005 => File D:\apachefriends\xampp\apache\bin\pv.exe tagged as not-a-virus:RiskWare.Tool.PrcView.3725. No Action Taken.
Wed Apr 27 02:50:08 2005 => File D:\Downloads\xampp-win32-1.4.9-installer.exe tagged as not-a-virus:RiskWare.Tool.PrcView.3725. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Apr 27 03:14:12 2005 => Total Virus(es) Found: 46
Wed Apr 27 03:14:12 2005 => Total Errors: 5
Wed Apr 27 03:14:12 2005 => Time Elapsed: 02:59:17
Wed Apr 27 03:14:12 2005 => Total Objects Scanned: 169701
Wed Apr 27 00:14:03 2005 => Virus Database Date: 2005/04/27
Wed Apr 27 03:14:12 2005 => Virus Database Date: 2005/04/27
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


Danke Andreas

Zitat:

Wed Apr 27 00:15:16 2005 => File C:\WINDOWS\system32\winnie.exe infected by "Backdoor.Win32.Rbot.gen"

Infos dazu: http://www.sophos.de/virusinfo/analyses/w32rbotaaf.html
Die einzige Möglichkeit um wieder einen vertrauenswürdigen Zustand herzustellen, ist die, das System neu aufzusetzen -> Anleitung