HALLO LEUTE!!! Wer kann mir bei diesem LOG helfen?? Kenn mich mit der Materie nicht aus.

DANKE

Zitat:

Zitat von Marco_Sets_Fire

HALLO LEUTE!!! Wer kann mir bei diesem LOG helfen?? Kenn mich mit der Materie nicht aus.

DANKE

Niemand, da kein Log vorhanden ist...

JETZT IST ER DRIN!!


Logfile of HijackThis v1.99.1
Scan saved at 17:45:53, on 20.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Anwendungen\D-Tools\daemon.exe
C:\Anwendungen\Emule\emule.exe
C:\Anwendungen\Belkin\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Anwendungen\Norton 2003\navapsvc.exe
C:\Anwendungen\Norton 2003\Norton Internet Security\NISUM.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Anwendungen\Norton 2003\Norton Internet Security\ccPxySvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://toolbar.ath.cx/x_sidesearch/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Anwendungen\Norton 2003\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Anwendungen\Norton 2003\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Anwendungen\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Anwendungen\Emule\emule.exe -AutoStart
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Anwendungen\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Anwendungen\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Anwendungen\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://xxxtgp.ath.cx/loud.chm::/bridge-c32.cab
O16 - DPF: {FC7F5C56-4B7C-454D-9A2C-48ED770A075C} - file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\xtbar.cab
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Anwendungen\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Anwendungen\Norton 2003\Norton Internet Security\ccPxySvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Anwendungen\Norton 2003\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Anwendungen\Norton 2003\Norton Internet Security\NISUM.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Zitat:

Zitat von Marco_Sets_Fire

JETZT IST ER DRIN!!

Deine Feststelltaste klemmt.

Zitat:

C:\Anwendungen\Emule\emule.exe

Ist für die Sicherheit des Systems nicht von Vorteil. Lies bitte das.

Zitat:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://toolbar.ath.cx/x_sidesearch/
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!h**p://xxxtgp.ath.cx/loud.chm::/bridge-c32.cab
O16 - DPF: {FC7F5C56-4B7C-454D-9A2C-48ED770A075C} - file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\xtbar.cab

Im abgesicherten Modus fixen.
HjT-Anleitung lesen und alle aktien Hyperlinks deaktivieren!


Leere diesen Ordner:
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

Lösche:
c:\nosuxyz.mht!h**p://xxxtgp.ath.cx/loud.chm::/bridge-c32.cab

also hab jetzt im abgesichertem modus gefixt.

Logfile of HijackThis v1.99.1
Scan saved at 18:16:45, on 20.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://toolbar.ath.cx/x_sidesearch/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Anwendungen\Norton 2003\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Anwendungen\Norton 2003\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Anwendungen\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Anwendungen\Emule\emule.exe -AutoStart
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Anwendungen\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Anwendungen\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Anwendungen\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://xxxtgp.ath.cx/loud.chm::/bridge-c32.cab
O16 - DPF: {FC7F5C56-4B7C-454D-9A2C-48ED770A075C} - file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\xtbar.cab
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Anwendungen\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Anwendungen\Norton 2003\Norton Internet Security\ccPxySvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Anwendungen\Norton 2003\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Anwendungen\Norton 2003\Norton Internet Security\NISUM.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe



woher weiß ich was die aktiven hyperlinks sind???

wo soll ich c:\nosuxyz.mht!h**p://xxxtgp.ath.cx/loud.chm::/bridge-c32.cab löschen?? kann es nicht finden???

tut mir leid für die blöden fragen aber ich versteh nur bahnhof

Du sollst die Links so deaktivieren, wie ich es gemacht habe.
Da die Einträge nicht verschwunden sind, arbeitet wahrscheinlich noch ein Schädling im Hintergrund.
=> Das System mit eScan überprüfen und die Ergebnisse posten.

ESCAN LOG

Wed Jul 20 18:53:39 2005 => **********************************************************
Wed Jul 20 18:53:39 2005 => Version 6.4.5 (C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com)
Wed Jul 20 18:53:39 2005 => Log File: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MWAV.LOG
Wed Jul 20 18:53:39 2005 => MWAV Registered: FALSE.
Wed Jul 20 18:53:39 2005 => MWAV Mode: Only Scan files.
Wed Jul 20 18:53:39 2005 => Latest Date of files inside MWAV: 28 Jun 2005 14:02:17.
Wed Jul 20 18:53:46 2005 => AV Library Loaded...
Wed Jul 20 18:53:46 2005 => MWAV doing self scanning...
Wed Jul 20 18:53:46 2005 => Scanning File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavss.exe
Wed Jul 20 18:53:46 2005 => Scanning File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Getvlist.exe
Wed Jul 20 18:53:47 2005 => Scanning File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavss.dll
Wed Jul 20 18:53:47 2005 => Scanning File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavssdi.dll
Wed Jul 20 18:53:47 2005 => Scanning File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavssi.dll
Wed Jul 20 18:53:47 2005 => Scanning File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavvlg.dll
Wed Jul 20 18:53:47 2005 => Scanning File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\msvlclnt.dll
Wed Jul 20 18:53:47 2005 => Scanning File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ipc.dll
Wed Jul 20 18:53:47 2005 => Scanning File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\main.avi
Wed Jul 20 18:53:47 2005 => Scanning File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\virus.avi
Wed Jul 20 18:53:47 2005 => MWAV files are clean.
Wed Jul 20 18:53:50 2005 => Virus Database Date: 2005/06/28
Wed Jul 20 18:53:50 2005 => Virus Database Count: 136804

Du hast die Anleitung entweder nicht gelesen, oder nicht verstanden.

Zitat:

C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavss.exe

Falscher Ordner!

Zitat:

Wed Jul 20 18:53:50 2005 => Virus Database Date: 2005/06/28

Veraltete Signaturen!

Allgemein falsches Endergebnis gepostet!


=> Erneut scannen, aber diesmal richtig, ansonsten ist für mich EOD. Die Anleitung wurde nämlich nicht zum Zeitvertreib erstellt...

Wed Jul 20 21:48:25 2005 => File C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis_199\hijackthis abgesicherter modus.log infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

Wed Jul 20 21:48:25 2005 => File C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis_199\hijackthis.log infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

Wed Jul 20 22:08:29 2005 => File C:\WINDOWS\Downloaded Program Files\tbu1C\tbupdate.cab infected by "Trojan.Win32.StartPage.rr" Virus! Action Taken: No Action Taken.

Wed Jul 20 22:08:29 2005 => File C:\WINDOWS\Downloaded Program Files\tbu51\tbupdate.cab infected by "Trojan.Win32.StartPage.rr" Virus! Action Taken: No Action Taken.

Wed Jul 20 23:08:41 2005 => Total Disinfected Files: 0



hoffe habe es diesmal richtig gemacht

mit der find.bat funktioniert nicht

Teile uns das Ergebnis mal folgendermaßen mit:

Zitat:

Rechtsklick auf die diesen Link -> Ziel speichern unter… z.B. 'C:\Find.rar' -> 'Find.rar' entpacken z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten.

Im abgesichertem modus?? im normal modus funktioniert das nicht.

Zitat:

Zitat von Marco_Sets_Fire

.... funktioniert das nicht.

Diesen Satz habe ich schon so oft gelesen, dass ich mittlerweile weiß, dass es sich immer um einen Anwenderfehler handelt. => Die Anleitung genau befolgen.

BTW: es gibt einen Alternativweg, der auch beschrieben ist.

hab dies genauso gemacht. doppelklick find.bat für evtl millisekunde ein scan. Scan?? nur ganz kurz schwarzer bildschirm. es wird auch keine "eScan_neu.txt" erstellt.
TUT mir leid aber wahrscheinlich hab ich überhaupt keine ahnung.

Zitat:

Zitat von Marco_Sets_Fire

hab dies genauso gemacht. doppelklick find.bat für evtl millisekunde ein scan. Scan?? nur ganz kurz schwarzer bildschirm. es wird auch keine "eScan_neu.txt" erstellt.

Dann hast du eScan falsch entpackt.
Ansonsten die Alternative wählen

Jetzt die Alternative!

Infected:

Wed Jul 20 21:48:25 2005 => File C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis_199\hijackthis abgesicherter modus.log infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

Wed Jul 20 21:48:25 2005 => File C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis_199\hijackthis.log infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

Wed Jul 20 22:08:29 2005 => File C:\WINDOWS\Downloaded Program Files\tbu1C\tbupdate.cab infected by "Trojan.Win32.StartPage.rr" Virus! Action Taken: No Action Taken.

Wed Jul 20 22:08:29 2005 => File C:\WINDOWS\Downloaded Program Files\tbu51\tbupdate.cab infected by "Trojan.Win32.StartPage.rr" Virus! Action Taken: No Action Taken.

Tagged:

Wed Jul 20 21:48:25 2005 => File C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis_199\backups\backup-20050720-183815-768.dll tagged as "not-a-virus:AdWare.WinAD". Action Taken: No Action Taken