Hey ho.

Hatte den Trojaner Smitfraud auf dem Rechner (siehe Thema : "Trojan-Spy").
Jetzt ist der glaub ich weg (merke jedenfalls nichts mehr von ihm aber ich hab eine Menge anderer Probleme; hier die Liste :

- Mein Rechner ist ungewöhnlich langsam

- Der Windows Messenger öffnet sich beim Start

- Ich kann mein Hintergrundbild trotz der empfohlenen reg's nur in der Farbe ändern (die Liste an Bildern ist braun unterlegt)

- eScan findet folgendes :


File C:\WINDOWS\System32\hhk.dll infected by "Trojan-Clicker.Win32.Agent.dj" Virus! Action Taken: No Action Taken.

File C:\WINDOWS\System32\shnlog.exe infected by "Trojan-Clicker.Win32.Agent.dj" Virus! Action Taken: No Action Taken.

File C:\WINDOWS\System32\intmon.exe infected by "Trojan-Clicker.Win32.Agent.dj" Virus! Action Taken: No Action Taken.

File C:\WINDOWS\System32\hp44E8.tmp infected by "Trojan-Clicker.Win32.Agent.dj" Virus! Action Taken: No Action Taken.

File C:\WINDOWS\system32\shnlog.exe infected by "Trojan-Clicker.Win32.Agent.dj" Virus! Action Taken: No Action Taken.

System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.

File C:\WINDOWS\System32\hhk.dll infected by "Trojan-Clicker.Win32.Agent.dj" Virus! Action Taken: No Action Taken.

File C:\WINDOWS\System32\intmon.exe infected by "Trojan-Clicker.Win32.Agent.dj" Virus! Action Taken: No Action Taken.

File C:\WINDOWS\System32\oleadm.dll infected by "Trojan-Downloader.Win32.Agent.ns" Virus! Action Taken: No Action Taken.

File C:\WINDOWS\System32\wldr.dll infected by "Trojan-Proxy.Win32.Small.bo" Virus! Action Taken: No Action Taken.

Total Disinfected Files: 0

System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.

Total Disinfected Files: 0




- und meine HighJack log ist glaube ich auch nicht in Ordnung :


Logfile of HijackThis v1.99.1
Scan saved at 10:18:55, on 06.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SLEE401.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
D:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\g3torrent\g3torrent.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Eigene Dateien\Programme\Anti\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://w*w.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://w*w.startsearches.net/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://w*w.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://w*w.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://w*w.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://w*w.startsearches.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://w*w.startsearches.net/
R3 - Default URLSearchHook is missing
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\WINDOWS\System32\hp44E8.tmp (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [KAVPersonal50] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [WindowsFY] c:\bsw.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Microsoft AntiSpyware helper - {538899FE-EA90-429D-B663-A0EAC0B1B0DD} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {538899FE-EA90-429D-B663-A0EAC0B1B0DD} - (no file) (HKCU)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Steganos Live Encryption Engine (Version 401) [Service] (SLEE_401_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE401.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe

Wäre so super wenn mir jamand ne datallierte Hilfe geben könnte. Ich plage mich mit dem Scheiß schon die ganze letzte Woche rum!

PS: Ich weiss, dass mein System nicht aktuell ist -> Ich arbeite drann..

Vielen Dank undoreal

Hi,
bei Dir ist so viel nicht in Ordnung....
Am schlimmsten ist allerdings der hier.
Er kann folgendes:

Ermöglicht Dritten den Zugriff auf den Computer
Löscht Dateien vom Computer
Stiehlt Daten
Reduziert die Systemsicherheit
Installiert sich in der Registrierung

Weiterhin hast Du einen zweiten Backdoor-Trojaner drauf:
Win32.agent.dj, das ist der da.
Und einen dritten im Bunde, nämlich den da.
Er heißt auch Trojan-Proxy.Win32.Small.bo.

Bei einem so verseuchten System heißt es nur: Rechner sofort vom Netz und System neu aufsetzen. Halte Dich an alle Tipps in dem Link und befolge die Anweisungen ganz genau!!
Melde Dich mit einem neuen Logfile, wenn das System neu ist.
cacatoa

Hey cacatoa;

So, ich bin wieder online mit allen möglichen Änderungen.

Hier nochmal ne Liste mit allen wichtigen Programmen auf meinem Rechner, wenn du noch 'ne empfehlenswerte Ergänzung hast kannst mir ja mal 'nen Tip geben :

-SP2
-Kaspersky
-The Cleaner

und ich zieh mir noch ne zusätzliche Firewall..

Sollte reichen oder?


Hier die hoffentlich unbedenklichen log's :


eScan log :

Tue Jun 07 20:22:12 2005 => Total Disinfected Files: 0



er hat mir aber komischer Weise trotzdem was von invalid Object erzählt.
->

Entry "HKCR\CLSID\{29FF67FF-8050-480f-9F30-CC41635F2F9D}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{2DE506B9-4320-11d3-8E42-002035221EDA}" refers to invalid object "\tcshellex.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{70B51430-B6CA-11D0-B9B9-00A0C922E750}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{8298d101-f992-43b7-8eca-5052d885b995}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{83D4679F-B6D7-11D2-BF36-00C04FB90A03}" refers to invalid object "C:\PROGRA~1\MESSEN~1\rtcimsp.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{A9E69612-B80D-11D0-B9B9-00A0C922E750}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{f612954d-3b0b-4c56-9563-227b7be624b4}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken.
Entry "HKCR\Alg.AlgSetup" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.
Entry "HKCR\Alg.AlgSetup.1" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.
Entry "HKCR\ComPlusMetaData.MsCorHost" refers to invalid object "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Action Taken: No Action Taken.
Entry "HKCR\ComPlusMetaData.MsCorHost.2" refers to invalid object "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Action Taken: No Action Taken.
Entry "HKCR\Plenoptic.Plenoptic" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.
Entry "HKCR\Plenoptic.Plenoptic.1" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.
Entry "HKCR\RTCCore.RTCClient" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.
Entry "HKCR\RTCCore.RTCClient.1" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.
Entry "HKCR\SymWriter.pdb" refers to invalid object "{520DC67A-752E-11D3-8D56-00C04F680B2B}". Action Taken: No Action Taken.
Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.
Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.



HighJack log :

Logfile of HijackThis v1.99.1
Scan saved at 20:19:21, on 07.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\WINDOWS\system32\taskmgr.exe
D:\Eigene Dateien\Programme\Anti\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KAVPersonal50] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe



sieht glaub ich auch in Ordnung aus.

Danke schon mal für deine Hilfe beim Neuaufsetzen
(an dieser Stelle auch schon wieder ein dreifaches HipHip :aplaus: an Cidre)

bis bald undoreal

Hallo undoreal,

dein Log-File sieht sauber aus und die eScan Funde kannst du vernachlässigen.

Wenn du mir jetzt noch mitteilen würdest, warum du denn eine Desktop Firewall einsetzen willst und vor was sie dich schützen soll?

Juhuuuuu!

Sehr schön, na endlich!

Von wegen FW: Weiss eigendlich auch nicht ganz genau wovor wenn du mich jetzt schon so fragst. Ich dachte 'ne Firewall erhöht die Systemsicherheit und blockt Viren ab bevor sie wie auch immer auf den Rechner gelangen.?
Als ich auf einem altem Rechner mit Firewall z.B. was downloaden wollte war auf der nächsten Seite zu lesen ich solle doch bitte meine FW abschalten; da hab ich die Finger von dem Mist gelassen.
Hab mich auf eurer(?) Hauptseite ("Trojaner-Info") umgesehen und mir nach den Kurzbeschreibungen wie gesagt ein AntiVir ein AntiTro und jetzt die FW "Kerio" gezogen.
Allerdings hab ich sowieso schon ne FW im Router aber seid die beim letzten Mal ja nicht besonders gut funktioniert hat dachte ich mir doppelt hält besser. (Obwohl es mit SP2 ja jetzt schon dreifach ist oder? )

Lasse mich in meinen Überlegungen gerne berichtigen..

undoreal

Zitat:

Allerdings hab ich sowieso schon ne FW im Router aber seid die beim letzten Mal ja nicht besonders gut funktioniert hat dachte ich mir doppelt hält besser. (Obwohl es mit SP2 ja jetzt schon dreifach ist oder?

Nein, das ist Käse. Hier geht's nicht nach dem Motto: "Viel hilft viel" oder "... je mehr desto besser".

Schau dir mal diese Vorträge an -> (Un)Sicheres Windows am Heim-PC und Personal Firewalls

Weitere Pflichtlektüre findest du hier -> http://dedies-board.de/wbb2/board.php?boardid=27
Speziell deinen Fall betreffend -> http://dedies-board.de/wbb2/thread.php?threadid=231 und http://dedies-board.de/wbb2/thread.php?threadid=234