Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Bitte helft mir

Bitte helft mir


Plagegeister aller Art und deren Bekämpfung: Bitte helft mir

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.08.2005, 20:25   #1
rdom
 
Bitte helft mir - Standard

Bitte helft mir


Habe vor kurzem den ABI Network Trojaner auf meinem Notebook gehabt. Diesen habe ich zwar entfernt (glaubte ich), aber trotzdem gehen wehrend des surfens im Internet seiten wie von Geisterhand auf.

Mein Log File:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\OLYMPUS\Service\OlCamSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\EzButton\CplBTQ00.EXE
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\hphmon03.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\HPHipm09.exe
C:\Programme\mobile PhoneTools\WatchDog.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Microsoft Money\System\reminder.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\ZyXEL\IEEE802.11b WLAN Card Utility\WLPCCfg.exe
C:\Programme\LG PC Suite\LG PC Sync\LGSyncManager.exe
C:\Programme\OLYMPUS\OLYMPUS Studio\Os_Monitor.exe
C:\Programme\OLYMPUS\OLYMPUS Viewer\Ov_Monitor.exe
C:\Programme\Wireless\Client Manager\CMags.EXE
C:\Programme\Sony Handheld\HOTSYNC.EXE
C:\Dokumente und Einstellungen\Robert Dombrowski\Desktop\Virus\1_99_1.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.at/0SEDEAT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inode.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PicShow Class - {4487598C-2EC7-43A2-870E-6D8D720FDD9F} - C:\WINDOWS\system32\pkshaeam.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de-at\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de-at\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CplBTQ00] C:\Programme\EzButton\CplBTQ00.EXE
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [NDSTray.exe] "C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programme\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Battery Checker] C:\Program Files\TOSHIBA\Battery Checker\BtryChkr.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [WatchDog] C:\Programme\mobile PhoneTools\WatchDog.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MMAgent] C:\Programme\Mobile Master\MMAgent.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [pshower] C:\WINDOWS\system32\pshwr.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Sony Handheld\HOTSYNC.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: IEEE802.11b WLAN Card Utility.lnk = C:\Programme\ZyXEL\IEEE802.11b WLAN Card Utility\WLPCCfg.exe
O4 - Global Startup: LG SyncManager.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OLYMPUS Studio.lnk = C:\Programme\OLYMPUS\OLYMPUS Studio\Os_Monitor.exe
O4 - Global Startup: OLYMPUS Viewer.lnk = C:\Programme\OLYMPUS\OLYMPUS Viewer\Ov_Monitor.exe
O4 - Global Startup: Wireless Client Manager.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Konvertieren für CLIÉ - C:\Programme\Sony\Image Converter\menu.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.registration.sonystyle-europe.com (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1089276643421
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://212.41.236.181/activex/AxisCamControl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OlCamSrv - OLYMPUS IMAGING CORP. - C:\Programme\Gemeinsame Dateien\OLYMPUS\Service\OlCamSrv.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe
O23 - Service: AEGIS Client 1.3.6.1 (SVC8021X) - Meetinghouse Data Communications - C:\WINDOWS\System32\svc8021x.exe

Für jegliche hilfe wäre ich dankbar.

Alt 29.08.2005, 20:30   #2
Chris14
 
Bitte helft mir - Standard

Bitte helft mir


eine genaue bezeichnung wäre gut abi network trojaner sagt mir nicht viel.
wenn es einer mit backdoorfunktion war, muss neu aufgesetzt werden.
führe eScan gemäß der Anleitung aus
lass auch mal die datei C:\WINDOWS\System32\svc8021x.exe bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis.
__________________
Alt 29.08.2005, 20:37   #3
rdom
 
Bitte helft mir - Standard

Bitte helft mir


Danke erstmals für die Schnelle Antwort. Der Scan der Datei svc8021x.exe ergab nicht. Status ok. Vielleicht hilft dir die Bezeichnung Aurora. Leider habe ich keine weiteren Daten. Ich werde mal eScan durführen. Melde mich wieder.
__________________
Alt 29.08.2005, 20:40   #4
Chris14
 
Bitte helft mir - Standard

Bitte helft mir


dann denke ich sollte es nichts allzu bedenkliches sein, obwohl..
das mit aurora war hilfreich - es ist wiedermal nail.exe

ich empfehle hier auch den Remover für nail.exe

Alt 29.08.2005, 20:45   #5
Platzregen
 
Bitte helft mir - Standard

Bitte helft mir


öhm hast du einen virenscanner neben ewido laufen?

*schäm* doofe Frage ich weis.
nur ich hab sowas nicht entdeckt.


Alt 30.08.2005, 19:36   #6
rdom
 
Bitte helft mir - Standard

Bitte helft mir


Es hat zwar etwas länger gedauert (ca. 4 Stunden) aber der eScan ergab folgendes

hoffe Ihr könnt mit dabei helfen.

Bedanke mich im voraus.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Aug 29 22:42:19 2005 => File C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-11faa9ed-22f78a0e.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Mon Aug 29 22:42:19 2005 => File C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-11faa9ed-5ba136ba.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Mon Aug 29 22:42:20 2005 => File C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-2b08b8d9-66489074.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Mon Aug 29 22:42:20 2005 => File C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-53b4ddc1-275dc5c5.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Mon Aug 29 22:42:20 2005 => File C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-5980c178-373cad74.zip infected by "Exploit.Java.ByteVerify" Virus! Action Taken: No Action Taken.
Mon Aug 29 22:42:20 2005 => File C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-9275328-342a5df1.zip infected by "Exploit.Java.ByteVerify" Virus! Action Taken: No Action Taken.
Mon Aug 29 22:42:21 2005 => File C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count1.jar-40ea9663-2ff11ac9.zip infected by "Trojan.Java.Needy.c" Virus! Action Taken: No Action Taken.
Mon Aug 29 22:42:21 2005 => File C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count1.jar-6fc6bfca-34bababe.zip infected by "Trojan.Java.Needy.c" Virus! Action Taken: No Action Taken.
Mon Aug 29 22:42:21 2005 => File C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count1.jar-77786529-66dee0ed.zip infected by "Trojan.Java.Needy.c" Virus! Action Taken: No Action Taken.
Mon Aug 29 22:42:27 2005 => File C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv678.jar-c933e3f-6f481288.zip infected by "Trojan.Java.ClassLoader.h" Virus! Action Taken: No Action Taken.
Mon Aug 29 22:44:16 2005 => File C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Eigene Dateien\cracks\Macromedia_Fireworks_4[1].01_German.zip infected by "Trojan-Dropper.Win32.Small.a" Virus! Action Taken: No Action Taken.
Tue Aug 30 02:58:05 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Aug 29 21:58:53 2005 => File C:\WINDOWS\system32\pkshaeam.dll tagged as "not-a-virus:AdWare.SafeSurfing.r". Action Taken: No Action Taken.
Mon Aug 29 22:24:15 2005 => File C:\WINDOWS\system32\pkshaeam.dll tagged as "not-a-virus:AdWare.SafeSurfing.r". Action Taken: No Action Taken.
Mon Aug 29 22:43:01 2005 => File C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Desktop\Virus\Nailfix\Process.exe tagged as not-a-virus:RiskTool.Win32.Processor.20. No Action Taken.
Mon Aug 29 22:43:01 2005 => File C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Desktop\Virus\Nailfix.zip tagged as not-a-virus:RiskTool.Win32.Processor.20. No Action Taken.
Tue Aug 30 01:58:18 2005 => File C:\Programme\Tlen.pl\plugins\DozaKultury.tpl tagged as "not-a-virus:AdWare.Doza.a". Action Taken: No Action Taken.
Tue Aug 30 02:57:43 2005 => File C:\WINDOWS\uzvwct.exe tagged as "not-a-virus:AdWare.BetterInternet.r". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Aug 30 02:58:05 2005 => Total Virus(es) Found: 17
Tue Aug 30 02:58:05 2005 => Total Errors: 345
Tue Aug 30 02:58:05 2005 => Time Elapsed: 04:34:12
Tue Aug 30 02:58:04 2005 => Total Objects Scanned: 127723
Mon Aug 29 21:57:50 2005 => Virus Database Date: 2005/08/29
Mon Aug 29 22:23:07 2005 => Virus Database Date: 2005/08/29
Tue Aug 30 02:58:05 2005 => Virus Database Date: 2005/08/29
Tue Aug 30 04:16:17 2005 => Virus Database Date: 2005/08/29
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Alt 30.08.2005, 19:47   #7
Chris14
 
Bitte helft mir - Standard

Bitte helft mir


leere erstmal deinen java-cache.
Start -> Einstellungen -> Systemsteuerung -> Java (PlugIn) -> Cache -> Cache Leeren.
achja den crack den du für macromedia fireworks runtergeladen hast, ist ein trojan-dropper. lösche also die datei C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Eigene Dateien\cracks\Macromedia_Fireworks_4[1].01_German.zip
lösche (falls nötig im abgesicherten modus) den ordner C:\Programme\Tlen.pl
lösche dann noch die dateien C:\WINDOWS\system32\pkshaeam.dll und C:\WINDOWS\uzvwct.exe.

neues HJT-Logfile posten.

Alt 30.08.2005, 20:19   #8
rdom
 
Bitte helft mir - Standard

Bitte helft mir


Danke Chris,

Ich konnte das file C:\WINDOWS\system32\pkshaeam.dll nicht löschen und im abgesicherten Modus konnte ich es nicht finden.

hier das neue logfile.

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\OLYMPUS\Service\OlCamSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\EzButton\CplBTQ00.EXE
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\System32\hphmon03.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\mobile PhoneTools\WatchDog.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Microsoft Money\System\reminder.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\HPHipm09.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\ZyXEL\IEEE802.11b WLAN Card Utility\WLPCCfg.exe
C:\Programme\LG PC Suite\LG PC Sync\LGSyncManager.exe
C:\Programme\OLYMPUS\OLYMPUS Studio\Os_Monitor.exe
C:\Programme\OLYMPUS\OLYMPUS Viewer\Ov_Monitor.exe
C:\Programme\Wireless\Client Manager\CMags.EXE
C:\Programme\Sony Handheld\HOTSYNC.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Robert Dombrowski\Desktop\Virus\1_99_1.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.at/0SEDEAT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inode.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de-at\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de-at\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CplBTQ00] C:\Programme\EzButton\CplBTQ00.EXE
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [NDSTray.exe] "C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programme\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Battery Checker] C:\Program Files\TOSHIBA\Battery Checker\BtryChkr.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [WatchDog] C:\Programme\mobile PhoneTools\WatchDog.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MMAgent] C:\Programme\Mobile Master\MMAgent.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [pshower] C:\WINDOWS\system32\pshwr.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Sony Handheld\HOTSYNC.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: IEEE802.11b WLAN Card Utility.lnk = C:\Programme\ZyXEL\IEEE802.11b WLAN Card Utility\WLPCCfg.exe
O4 - Global Startup: LG SyncManager.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OLYMPUS Studio.lnk = C:\Programme\OLYMPUS\OLYMPUS Studio\Os_Monitor.exe
O4 - Global Startup: OLYMPUS Viewer.lnk = C:\Programme\OLYMPUS\OLYMPUS Viewer\Ov_Monitor.exe
O4 - Global Startup: Wireless Client Manager.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Konvertieren für CLIÉ - C:\Programme\Sony\Image Converter\menu.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.registration.sonystyle-europe.com (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1089276643421
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://212.41.236.181/activex/AxisCamControl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDE35A50-BB91-4622-8BA0-D7ADD6CBCBA6}: NameServer = 195.58.160.194 195.58.161.122
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OlCamSrv - OLYMPUS IMAGING CORP. - C:\Programme\Gemeinsame Dateien\OLYMPUS\Service\OlCamSrv.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe
O23 - Service: AEGIS Client 1.3.6.1 (SVC8021X) - Meetinghouse Data Communications - C:\WINDOWS\System32\svc8021x.exe

Alt 30.08.2005, 20:26   #9
chaosman
 
Bitte helft mir - Standard

Bitte helft mir


@rdom

poste bitte auch die systeminfos vom HJT logfile

chaosman
__________________
Bonus vir semper tiro

Alt 30.08.2005, 20:28   #10
rdom
 
Bitte helft mir - Standard

Bitte helft mir


@chaosman

meinst Du das hier

Logfile of HijackThis v1.99.1
Scan saved at 21:27:02, on 30.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Alt 30.08.2005, 20:36   #11
chaosman
 
Bitte helft mir - Standard

Bitte helft mir


@rdom
Yep, bitte immer mit posten.
editiere deine aktiven Links, siehe meine signatur.

Ich konnte das file C:\WINDOWS\system32\pkshaeam.dll nicht löschen und im abgesicherten Modus konnte ich es nicht finden.
benütze bitte kilbox http://www.downloads.subratam.org/KillBox.zip
zum löschen.

sind diese einstellungen bei dir aktiv?
Im Windows-Explorer:
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
Zitat Haui45


chaosman
__________________
Bonus vir semper tiro

Alt 30.08.2005, 21:06   #12
rdom
 
Bitte helft mir - Standard

Bitte helft mir


@chaosman

ja ist beim mir alles aktiviert bzw. deaktiviert. habe im normalem Windows Modus nach der Datei gesucht und fand diese mit dem Filename "delet on reebot pksheam.dll" konnte diese aber nicht löschen und bin in den abgesichertem Modus gegangen, konnte diese Datei aber dort nicht mehr finden. Mir kommt vor daß ich die datei vor paar Tagen mit killbox gelöscht habe. Kann es sein daß diese erst heute gelöscht wurde?
Geändert von rdom (31.08.2005 um 14:02 Uhr)

Alt 31.08.2005, 14:06   #13
rdom
 
Bitte helft mir - Standard

Bitte helft mir


Es schaut so aus als ob alles wieder in Ordnung ist.

Danke für Eure Hilfe.

Antwort

Themen zu Bitte helft mir
adobe, adobe reader, askbar, bho, computer, converter, desktop, drivers, einstellungen, excel, file, google, internet, internet explorer, konvertieren, log, log file, nvidia, olympus, programme, rundll, security, security suite, seiten, software, studio, system, toolbars, trojaner, virus, windows, wlan


« Textdateien mit gespeicherten Aktivitäten im Win/System32 Ordner | stealth »


Ähnliche Themen: Bitte helft mir


  1. RECYCLER Virus ! Computer & USB Sticks infiziert BITTE BITTE HELFT MIR!
    Log-Analyse und Auswertung - 20.11.2011 (1)
  2. Bitte bitte helft mir trojaner legt alles lahm :(wichtiges dokument noch bis morgen.
    Plagegeister aller Art und deren Bekämpfung - 22.03.2009 (10)
  3. Bitte helft mir !!
    Log-Analyse und Auswertung - 17.02.2008 (1)
  4. Bitte helft mir
    Alles rund um Windows - 07.03.2007 (1)
  5. bitte helft mir :(
    Log-Analyse und Auswertung - 30.07.2006 (9)
  6. Bitte Helft Mir
    Netzwerk und Hardware - 04.05.2006 (9)
  7. Bitte helft mir!!!
    Log-Analyse und Auswertung - 12.02.2006 (25)
  8. Bitte helft mir mal
    Log-Analyse und Auswertung - 04.02.2006 (4)
  9. Bitte helft mir !!!
    Log-Analyse und Auswertung - 14.01.2006 (11)
  10. Bitte HELFT mir :-)
    Log-Analyse und Auswertung - 01.01.2006 (3)
  11. bitte helft mir!!
    Log-Analyse und Auswertung - 28.07.2005 (17)
  12. Helft Mir Bitte!
    Mülltonne - 10.07.2005 (1)
  13. bitte helft mir!!!
    Log-Analyse und Auswertung - 23.02.2005 (1)
  14. Bitte helft mir!
    Log-Analyse und Auswertung - 14.01.2005 (2)
  15. helft mir bitte!
    Alles rund um Windows - 28.11.2004 (2)
  16. Bitte helft mir !!!!!!!!
    Alles rund um Windows - 01.11.2004 (14)
  17. Bitte helft mir !
    Log-Analyse und Auswertung - 23.10.2004 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Bitte helft mir - Habe vor kurzem den ABI Network Trojaner auf meinem Notebook gehabt. Diesen habe ich zwar entfernt (glaubte ich), aber trotzdem gehen wehrend des surfens im Internet seiten wie von Geisterhand - Bitte helft mir...
Archiv
Du betrachtest: Bitte helft mir auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55