Hallo...irgendwie, als ich von meinem Wochenende Trip zurückkam war plötzlich irgendwie mein Computer voller Spyware und so weiter... Erst war auf meinem Desktop so ein hintergrund mit "Your computer might be infected with spyware" hab das aber dann doch wegbekommen... aber nun habe ich einen schwarzen hintergrund, den ich auch nicht aendern kann. Rechts unten neben der Uhr ist so ein Rotes Ausrufezeichen.... Naja, drum sahs ich als letzte möglichkeit jetzt, hier mal mein HJT log zu posten, dass ich vielleicht hier Hilfe finde....

Logfile of HijackThis v1.99.1
Scan saved at 11:55:35, on 01.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sysbho.exe
C:\WINDOWS\System32\intell32.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Hey-c\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://win-eto.com/sp.htm?id=0
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://win-eto.com/sp.htm?id=0
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://win-eto.com/sp.htm?id=0
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://win-eto.com/hp.htm?id=0
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://win-eto.com/sp.htm?id=0
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://win-eto.com/hp.htm?id=0
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://win-eto.com/sp.htm?id=0
O4 - HKLM\..\Run: [System Redirect] C:\WINDOWS\System32\sysbho.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O20 - AppInit_DLLs: sysmain.dll
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe



danke schon mal im vorraus.

Hallo,
arbeite mal diese Anleitung (Beitrag #4) durch und poste dann die 3 Logs (Escan, smitrem, neues HijackThis)



Grüße Wildone

Danke Wildone für deine Schnelle Antwort... Aber als ich versucht habe in den abgesicherten Modus zu wechseln (nach der deaktivierung der systemwiederherstellung) kommt nur _ bei einem schwarzen bildschirm blinkend ... Und ich kann so lange warten, wie ich will,...es passiert dann einfach ncihts... geht das auch ohne abgesicherten Modus, oder was mache ich dabei falsch, in diesen Modus zu wechseln?

Hallo,
eigentlich ist es schon wichtig das ganze im abgesicherten Modus zu machen. Du versuchst es ganz normal mit F8 beim booten und dann funktioniert es nicht ?


Grüße Wildone

Ich hab F8 gedrückt, dann komm ich auch in die Auswahl was ich machen möcöhte, und waehle "Abgesicherter Modus"... dann ladet er irgendwie die teile, und dann blnikt halt _ in einem schwarzen hintergrund und nichts passiert...

Hallo,
hmm, dann müssen wir es eben anders versuchen, beende mal bitte folgende Prozesse im Taskmanager:
C:\WINDOWS\System32\sysbho.exe
C:\WINDOWS\System32\intell32.exe
und fixe diese beiden Einträge mit Hijackthis
O4 - HKLM\..\Run: [System Redirect] C:\WINDOWS\System32\sysbho.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
dann lass mal die Tools wie beschrieben laufen, nur halt im normalen Modus, und poste dann die Logs.


Grüße Wildone

So, nun hab ich alles durchgescanned ... Hier waeren die Logs: http://innovators.funpic.de/logs.txt

Ich hoffe du kanst damit was anfangen...

grüße, Hey-c

Hallo,
dein Link funktioniert nicht.

Grüße Wildone

Hallihallo...sorry...der dürfte nun gehen, hoffe ich:

Klick


grüße

Hallo,
bei dem Escan Ergebnis rate ich dir doch dazu die Kiste neu aufzusetzen, das ist einfach zuviel um noch mal richtig bereinigt werden zukönnen(unter anderem auch ein als Backdoor deklarierter):

Zitat:

Datei C:\WINDOWS\apief.exe infiziert von "Backdoor.Win32.Small.dc" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\apiqc.exe infiziert von "Backdoor.Win32.Small.dc" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\apiqq.exe infiziert von "Trojan.Win32.Agent.bi" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\itshta.exe infiziert von "Trojan.Win32.Small.cr" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\System32\7rx7p0s538.dll infiziert von "Trojan-Downloader.Win32.Small.rr" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\System32\atlpm32.exe infiziert von "Backdoor.Win32.Small.dc" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\System32\backup.old infiziert von "Trojan.Win32.StartPage.abx" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\System32\c2nt33bgynd8.dll infiziert von "Trojan-Downloader.Win32.Small.rr" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\System32\crpe32.exe infiziert von "Backdoor.Win32.Small.dc" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\System32\d3ot.exe infiziert von "Trojan-Downloader.Win32.Agent.bq" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\System32\e41vf7t1ecnu.dll infiziert von "Trojan-Downloader.Win32.Small.rr" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\System32\iehm32.exe infiziert von "Trojan.Win32.Agent.bi" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\System32\ipjg32.exe infiziert von "Backdoor.Win32.Small.dc" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\System32\ntbd.exe infiziert von "Backdoor.Win32.Small.dc" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\System32\sr3rpxi0xios.dll infiziert von "Trojan-Downloader.Win32.Small.rr" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\System32\sysbho.exe infiziert von "Trojan.Win32.StartPage.abx" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\System32\wintv.exe infiziert von "Backdoor.Win32.Small.dc" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\System32\winxg.exe infiziert von "Backdoor.Win32.Small.dc" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\System32\y03df9208r9.dll infiziert von "Trojan-Downloader.Win32.Small.rr" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\DOKUME~1\Hey-c\LOKALE~1\TEMPOR~1\Content.IE5\4XAZ8XE7\an[1].exe infiziert von "Trojan-Downloader.Win32.Small.rr" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\DOKUME~1\Hey-c\LOKALE~1\TEMPOR~1\Content.IE5\GPYVKTUN\loader3[1].exe infiziert von "Trojan.Win32.Small.ev" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\DOKUME~1\Hey-c\LOKALE~1\TEMPOR~1\Content.IE5\GPYVKTUN\payload[1].ani infiziert von "Trojan-Downloader.Win32.Ani.b" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\DOKUME~1\Hey-c\LOKALE~1\TEMPOR~1\Content.IE5\SDKDU3KP\main[1].exe infiziert von "Trojan-Dropper.Win32.Small.acx" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\DOKUME~1\Hey-c\LOKALE~1\TEMPOR~1\Content.IE5\SDKDU3KP\test[1].htm infiziert von "Exploit.HTML.Mht" Virus. Aktion vorgenommen: No Action Taken.

Grund für das Maß von Durchseuchung ist dein nicht aktuelles OS, aktuell wäre XP SP2+ alle weitere updates die MS monatlich zur Verfügung stellt.
Hier
ist eine Anleitung wie du beim Neuaufsetzen vorgehen solltest, damit du in Zukunft sicherer bist.


Grüße Wildone

Okay, danke Wildone, ich bedanke mich, dass du dich bemüht hast mir zu helfen und mir geholfen hast... Dann werd ich das mal alles neu Machen~ ^^ großes danke bye