Hi Folks!
Bitte helft mir! Ich weiß nicht, was ich mir da eingefangen habe.
Antivir, Stinger und AdAware haben alle was gefunden und wohl auch gelöscht, trotzdem werde ich meinen Plagegeist nicht los:
Anfangs wurde mein Broser so gehijackt, dass an Stelle meiner leere Startseite "about:blank" eine blank.mht in Windows/System32 aufgerufen wurde, welche allerdings nix anderes als die TNS Search Seite war.
Ähnlich war es mit ZToolbar-Einträgen in der Registry, sowie einer ztoolbar DLL, welche mir wunderschöne Porno Icons (Hyperlinks) auf meinen Desktop gezaubert haben.
Auch hier habe ich die Registry-Einträge und die dll enfernt. Was sich jetzt noch hartnäckig hält ist irgendein Müll der sofort nach XP-Start versucht, meine DSL Verbindung herzustellen. Ab und zu kommt auch noch eine "Microsoft" Warnmeldung, dass mein System infiziert wurde und man mir empfielt, aufgeführte supertolle Antispyware-Tools zu kaufen
Was mir aufgefallen ist, ist dass mein Taskmanager nach dem Herstellen einer DSL-Verbindung nicht mehr öffnet, sondern nur noch das kleine grüne Icon im Systray zu finden ist. Ich führe das direkt auf den Trojaner/Wurm zurück. Im Anhang ist mein Hijack-Log von heute. Ich hoffe, ihr könnt mir helfen
Vielen Dank im Voraus!

Gruß Holgi

Logfile of HijackThis v1.99.1
Scan saved at 16:32:46, on 18.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Wise-FTP\WF_Scheduler.exe
C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Ablage\ZIPPER\Antivirus\Hijack this\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WHttpHelper Class - {9896231A-C487-43A5-8369-6EC9B0A96CC0} - C:\WINDOWS\System32\WStart.dll (file missing)
O2 - BHO: (no name) - {B75F75B8-93F3-429D-FF34-660B206D897A} - C:\WINDOWS\System32\zolker005.dll
O2 - BHO: (no name) - {FFF5092F-7172-4018-827B-FA5868FB0478} - (no file)
O3 - Toolbar: (no name) - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - (no file)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Windows Media Player] mcafe32.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Wise-FTP Scheduler] C:\Programme\Wise-FTP\WF_Scheduler.exe
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSNSysRestore] C:\WINDOWS\System32\pc32.exe bg
O4 - HKLM\..\Run: [MSNSysRestore] C:\WINDOWS\System32\pc32.exe bg
O4 - HKLM\..\RunServices: [Windows Media Player] mcafe32.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - h**ps://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -

h**p://software-dl.real.com/053d49dbd86f50607c06/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121539917750
O21 - SSODL: AntiVir/XP - {58BD0D3E-D1C0-6E92-93BE-087404C97F3F} - c:\programme\avpersonal\wncidw4.dll (file missing)
O21 - SSODL: System - {C880F20C-4E9A-4133-9E6C-FCC1D9C59003} - vr_sys.dll (file missing)
O21 - SSODL: Anti-Leech ALIE - {FD1D5A2F-5E36-6BFC-8C2F-EE89B041F75C} - c:\programme\anti-leech\alie_1.0.1.6\wcfdygq2.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog

Devices\SoundMAX\SMAgent.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - SCM Microsystems - C:\WINDOWS\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

++++++++++++++++++++++++

Eines sehe ich gerade noch: die TNS-Dreckschleuder hat sich ebenfalls mein Startmenü einverleibt und 2 nette Links plaziert: "Spyware-Remover" und "Popup-Blocker" Die Url dahinter lautet z.B.:
h**p://12.tnssearch.com/search.php?track=07&q=PopUp Blocker

Hallo Kraftei,

leider sieht Dein System nicht gut aus!
Da tummelt sich alles, u.a. ist/war der aktiv:

http://www.sophos.de/virusinfo/analyses/w32rbotxg.html

Grund dafür ist in erster Linie Dein nicht aktuelles Betriebssystem!
SP 2 sowie alle weiteren Sicherheitsupdates müssen installiert sein!

Bei einem Trojaner mit Backdoorfunktionalität wird Dir dringend zur Neuinstallation geraten, um wieder ein vertrauenswürdiges System herzustellen.

http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html
http://en.wikipedia.org/wiki/Botnet
http://de.wikipedia.org/wiki/Backdoor

Empfohlene Anleitung zur Neuinstallation

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

dartus