Kriege es nicht weg!!!

Quarry · 15.05.2005, 18:39

Hab Trojaner die immer wieder kommen!!

Wie bei den anderen,mein Log

Logfile of HijackThis v1.99.1
Scan saved at 19:31:56, on 15.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Dokumente und Einstellungen\Leiste\Eigene Dateien\LClock\lclock.exe
C:\Dokumente und Einstellungen\Leiste\Eigene Dateien\TVgenial\TVgenial.exe
C:\Dokumente und Einstellungen\Leiste\Eigene Dateien\Object Dock\ObjectDock.exe
C:\Dokumente und Einstellungen\Leiste\Eigene Dateien\Timer\DeskAlarm.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Leiste\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/freenet
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RsyncHlpr Class - {16B238D5-80DE-47CE-8F17-B3ECE2C2248D} - C:\WINDOWS\system32\rsyncmon.dll
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\system32\nsn274.dll
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [RSync] C:\WINDOWS\system32\netsync.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Desk-Timer] C:\Dokumente und Einstellungen\Leiste\Eigene Dateien\Timer\Desk-Timer.exe
O4 - HKCU\..\Run: [LClock] C:\Dokumente und Einstellungen\Leiste\Eigene Dateien\LClock\lclock.exe
O4 - HKCU\..\Run: [TVgenial] C:\Dokumente und Einstellungen\Leiste\Eigene Dateien\TVgenial\TVgenial.exe -d
O4 - Startup: Stardock ObjectDock.lnk = C:\Dokumente und Einstellungen\Leiste\Eigene Dateien\Object Dock\ObjectDock.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MOXP~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/...gameloader.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{585685F2-5E0C-427B-81CB-CFDE3A777AE1}: NameServer = 145.253.2.81 145.253.2.203
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\TuneUp\WinStylerThemeSvc.exe

Kann mir jemand helfen!!

The Saint · 15.05.2005, 18:48

Lasse diese Datei

C:\WINDOWS\system32\rsyncmon.dll
C:\WINDOWS\system32\nsn274.dll
C:\WINDOWS\system32\netsync.exe
C:\Dokumente und Einstellungen\Leiste\Eigene Dateien\Timer\Desk-Timer.exe
C:\WINDOWS\svcproc.exe

bei JOTTI überprüfen und poste uns das Ergebniss.

Quarry · 15.05.2005, 19:07

Datei: rsyncmon.dll
Status: VIELLEICHT INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

Avast Win32:Adan-013 gefunden
Fortinet Adware/Safesurf.DLL gefunden

Datei: nsn274.dll
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

Avast Win32:Adan-015 gefunden
Dr.Web not a virus Adware.Begin2Search gefunden
Fortinet Adware/Beginto.DLL gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.Beginto.c gefunden
Norman Virus Control W32/Beginto.C gefunden
VBA32 AdWare.Beginto.c gefunden

C:\Dokumente und Einstellungen\Leiste\Eigene Dateien\Timer\Desk-Timer.exe
lädt sich nicht hoch!!

C:\WINDOWS\system32\netsync.exe
C:\WINDOWS\svcproc.exe

hab ich glaub ich schon gelöscht gehabt!!

The Saint · 15.05.2005, 19:29

Lade dir ESCAN herunter und lese die Anleitung aufmerksam.

Wechsle danach in den abgesicherten Modus schalte danach die Systemwiederherstellung
ab.

Aktiviere im Windows Explorer unter Extras/Ordneroptionen folgende Einträge:

Den Reiter Ansicht anklicken und danach

Geschützt Systemdateien ausblenden (empfohlen hier den Hacken entfernen)
Dann unter dem Ordner Versteckte Dateien und Ordner
die Option Alle Dateien und Ordner anzeigen aktivieren

Danach fixe mit HJT folgende Einträge.

O2 - BHO: RsyncHlpr Class - {16B238D5-80DE-47CE-8F17-B3ECE2C2248D} - C:\WINDOWS\system32\rsyncmon.dll
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\system32\nsn274.dll
O4 - HKLM\..\Run: [RSync] C:\WINDOWS\system32\netsync.exe
O4 - HKCU\..\Run: [Desk-Timer] C:\Dokumente und Einstellungen\Leiste\Eigene Dateien\Timer\Desk-Timer.exe
O16 - DPF: RaptisoftGameLoader - http://h**p://www.miniclip.com/hamst...gameloader.cab
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

Lösche danach folgende Dateien wenn noch vorhanden:

C:\WINDOWS\system32\rsyncmon.dll
C:\WINDOWS\system32\nsn274.dll
C:\WINDOWS\system32\netsync.exe
C:\Dokumente und Einstellungen\Leiste\Eigene Dateien\Timer\Desk-Timer.exe
C:\WINDOWS\svcproc.exe

Scanne mit Escan nach der Anleitung und poste danach das Logfile.

Quarry · 15.05.2005, 23:24

Sun May 15 18:13:39 2005 => File C:\WINDOWS\system32\nsn274.dll infected by "not-a-virus:AdWare.Beginto.c" Virus. Action Taken: No Action Taken.
Sun May 15 18:13:51 2005 => File C:\WINDOWS\svcproc.exe infected by "Trojan.Win32.Stervis.c" Virus. Action Taken: No Action Taken.
Sun May 15 18:13:54 2005 => System found infected with FunWebProducts Spyware/Adware! Action taken: No Action Taken.
Sun May 15 18:13:54 2005 => File System Found infected by "FunWebProducts Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun May 15 18:13:54 2005 => System found infected with mwsoemon Spyware/Adware! Action taken: No Action Taken.
Sun May 15 18:13:54 2005 => File System Found infected by "mwsoemon Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun May 15 18:17:09 2005 => File C:\WINDOWS\system32\nsa24B.dll infected by "not-a-virus:AdWare.Beginto.c" Virus. Action Taken: No Action Taken.
Sun May 15 18:17:09 2005 => File C:\WINDOWS\system32\nsb266.dll infected by "not-a-virus:AdWare.Beginto.c" Virus. Action Taken: No Action Taken.
Sun May 15 18:17:09 2005 => File C:\WINDOWS\system32\nsg241.dll infected by "not-a-virus:AdWare.Beginto.c" Virus. Action Taken: No Action Taken.
Sun May 15 18:17:09 2005 => File C:\WINDOWS\system32\nsh252.dll infected by "not-a-virus:AdWare.Beginto.c" Virus. Action Taken: No Action Taken.
Sun May 15 18:17:09 2005 => File C:\WINDOWS\system32\nso256.dll infected by "not-a-virus:AdWare.Beginto.c" Virus. Action Taken: No Action Taken.
Sun May 15 18:17:09 2005 => File C:\WINDOWS\system32\nst245.dll infected by "not-a-virus:AdWare.Beginto.c" Virus. Action Taken: No Action Taken.
Sun May 15 18:17:09 2005 => File C:\WINDOWS\system32\nsw25E.dll infected by "not-a-virus:AdWare.Beginto.c" Virus. Action Taken: No Action Taken.
Sun May 15 18:17:50 2005 => File C:\DOKUME~1\Leiste\LOKALE~1\Temp\1.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
Sun May 15 18:19:45 2005 => File C:\DOKUME~1\Leiste\LOKALE~1\TEMPOR~1\Content.IE5\M3Q7IP6R\sehnsucht01[1].htm infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.
Sun May 15 18:21:09 2005 => File C:\DOKUME~1\Leiste\LOKALE~1\TEMPOR~1\Content.IE5\SBDNEU31\liebes-index[1].htm infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.
Sun May 15 18:22:13 2005 => File C:\DOKUME~1\Leiste\LOKALE~1\TEMPOR~1\Content.IE5\XZVF1TCE\aurora[1].exe infected by "not-a-virus:AdWare.BetterInternet.c" Virus. Action Taken: No Action Taken.
Sun May 15 18:28:48 2005 => File C:\Dokumente und Einstellungen\Leiste\Eigene Dateien\Rico\Style XP\54547.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken.
Sun May 15 18:29:43 2005 => File C:\Dokumente und Einstellungen\Leiste\Lokale Einstellungen\Temp\1.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
Sun May 15 18:31:25 2005 => File C:\Dokumente und Einstellungen\Leiste\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M3Q7IP6R\sehnsucht01[1].htm infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.
Sun May 15 18:32:56 2005 => File C:\Dokumente und Einstellungen\Leiste\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SBDNEU31\liebes-index[1].htm infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.
Sun May 15 18:34:05 2005 => File C:\Dokumente und Einstellungen\Leiste\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XZVF1TCE\aurora[1].exe infected by "not-a-virus:AdWare.BetterInternet.c" Virus. Action Taken: No Action Taken.
Sun May 15 18:37:54 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sun May 15 18:44:12 2005 => File C:\Programme\NavExcel\NavHelper\v2.0.4c\NHelper.dll infected by "not-a-virus:AdWare.NavExcel.f" Virus. Action Taken: No Action Taken.
Sun May 15 18:44:12 2005 => File C:\Programme\NavExcel\NavHelper\v2.0.4c\NHUninstaller.exe infected by "not-a-virus:AdWare.NavExcel" Virus. Action Taken: No Action Taken.
Sun May 15 18:44:12 2005 => File C:\Programme\NavExcel\NavHelper\v2.0.4c\NHUpdater.exe infected by "not-a-virus:AdWare.NavExcel.b" Virus. Action Taken: No Action Taken.
Sun May 15 18:44:12 2005 => File C:\Programme\NavExcel\NavHelper\v2.0.4c\v2.0.4c.cab infected by "not-a-virus:AdWare.NavExcel.f" Virus. Action Taken: No Action Taken.
Sun May 15 18:47:02 2005 => File C:\System Volume Information\_restore{D798BD82-A859-437A-A3A5-1C9AC501CB70}\RP336\A0088239.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken.
Sun May 15 18:47:36 2005 => File C:\System Volume Information\_restore{D798BD82-A859-437A-A3A5-1C9AC501CB70}\RP359\A0091737.dll infected by "not-a-virus:AdWare.WildTangent.b" Virus. Action Taken: No Action Taken.
Sun May 15 18:48:52 2005 => File C:\System Volume Information\_restore{D798BD82-A859-437A-A3A5-1C9AC501CB70}\RP410\A0102282.exe infected by "not-a-virus:AdWare.BetterInternet.c" Virus. Action Taken: No Action Taken.
Sun May 15 18:48:54 2005 => File C:\System Volume Information\_restore{D798BD82-A859-437A-A3A5-1C9AC501CB70}\RP410\A0102304.dll infected by "not-a-virus:AdWare.Beginto.c" Virus. Action Taken: No Action Taken.
Sun May 15 18:48:55 2005 => File C:\System Volume Information\_restore{D798BD82-A859-437A-A3A5-1C9AC501CB70}\RP410\A0102305.exe infected by "Trojan.Win32.Stervis.c" Virus. Action Taken: No Action Taken.
Sun May 15 18:48:55 2005 => File C:\System Volume Information\_restore{D798BD82-A859-437A-A3A5-1C9AC501CB70}\RP410\A0102306.dll infected by "not-a-virus:AdWare.Beginto.c" Virus. Action Taken: No Action Taken.
Sun May 15 19:02:55 2005 => File C:\WINDOWS\system32\nsa24B.dll infected by "not-a-virus:AdWare.Beginto.c" Virus. Action Taken: No Action Taken.
Sun May 15 19:02:55 2005 => File C:\WINDOWS\system32\nsb266.dll infected by "not-a-virus:AdWare.Beginto.c" Virus. Action Taken: No Action Taken.
Sun May 15 19:02:55 2005 => File C:\WINDOWS\system32\nsg241.dll infected by "not-a-virus:AdWare.Beginto.c" Virus. Action Taken: No Action Taken.
Sun May 15 19:02:56 2005 => File C:\WINDOW

rock · 16.05.2005, 07:32

Systemwiederherstellung deaktivieren! (hast du nicht, sonst wären keine restore einträge da!)

rechner in den abgesicherten modus starten.

Temporäre Internetfiles incl. OFFLINEINHALTE (ContentIE5) löschen!
un den ordner TEMP leeren.

in deinem e-scan log siehst du ja eh wo was liegt! (restore, temp, temp.internetfiles offlineinhalte)

was hat denn dein virenscanner entdeckt?? e-scan kann ja nichts unternehmen!

jetzt nachdem die SWH aus ist, und die tempfiles gelöscht sind, der Ordner TEMP geleert ist (papierkorb dann auch leeren) solltest du mit deinem virenscanner nocheinmal scannen - funde elemenieren. (falls der was findet)

den infected ordner von antivir leeren/inhalte entfernen.

Kriege es nicht weg!!!

Plagegeister aller Art und deren Bekämpfung: Kriege es nicht weg!!!