Hi,
hab mir glaube den Trojaner Trojan.intell32 und wahrscheinlich auch noch ein paar andere eingefangen Habe versucht sie mit Ad Awae, Spybot S&D und antivir zu killen und die sagen zumindest, dass alles ok ist, aber mein Hintergrund ist noch schwarz
Hab auch intmon und msole32 per Hand gelöscht, da die noch in WINNT/system32 waren, aber irgendwie hab ich das Gefühl, dass da noch was nicht stimmt... hhk.dll in WINNT/system32 is glaube auch noch böse, oder

Hier mal mein HJT logfile:

Logfile of HijackThis v1.99.1
Scan saved at 10:21:21, on 05.09.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\ahead\InCD\InCD.exe
C:\WINNT\system32\internat.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINNT\twain_32\A4CIS600\WATCH.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\explorer.exe
C:\PROGRA~1\WINZIP\wzqkpick.exe
E:\Eigene Dateien\Hagen\Live\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINNT\system32\msmsgs.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Watch.lnk = C:\WINNT\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

Kann mir bitte jemand sagen, ob da noch was am brodeln ist

DANKE!

LG

@kaprysonne
Im Log sehe ich nichts Auffälliges. Bitte hier schauen und genau folgen: http://www.trojaner-board.de/42731-escan-anleitung.html

@rene-gad

Zitat:

O4 - HKLM\..\Run: [RegSvr32] C:\WINNT\system32\msmsgs.exe

nach diesem Verweis
http://startup.iamnotageek.com/srch-RegSvr32.html

Zitat:

X RegSvr32 msmsgs.exe "Added by the Trojan.Zlob.B

und laut Symantec http://securityresponse.symantec.com...an.zlob.b.html
mit Backdoorqualität!?
@kaprysonne
Versuche mal, diese oben zitierte Datei bei Jotti http://virusscan.jotti.org/de/
scannen zu lassen und melde das Ergebnis
Bis denn, stupormundi

@stupormundi
ACK! Habe vermasselt. Sorry.

Danke hab mal die Datei gecheckt...

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

Ich habe die Datei auch mal gesucht und leider nicht gefunden (auch nicht unter DOS...)

Habt ihr nen Tipp?

Warum muß man eigentlich manchmal den abgesicherten Modus benutzen, um die Spyware zu killen?

LG

Auch darauf geachtet, dass versteckte Dateien angezeigt werden?
Wenn nein probier diesen link von rene-gad
http://www.trojaner-board.de/59624-a...-sichtbar.html

Zu Deinem Backdoor Problem: Das kannst Du sinnvollerweise ohnedies nicht mehr durch reparieren lösen, sondern nur noch durch Neu Aufsetzen.
Dazu die Anleitung von Cidre
http://www.trojaner-board.de/showthread.php?t=12154
Warum das die einzige Lösung im Zusammenhang mit Backdoor-Trojaner ist und warum nicht eine Entfernung genügt ist hier auch ausreichend berschrieben/verlinkt!
Noch eine Info zu dem von Dir selbst genannten Trojaner
http://research.sunbelt-software.com...threatid=41240

Zitat:

Threat risk: Severe Risk
Severe threats typically are remotely exploitable vulnerabilities, which can lead to system compromise. Successful exploitation does not normally require any interaction and exploits are in the wild. There exists a high possibility of potential system damage or security flaw. Attacker has complete control over your computer or install new software on your machine.

Also, folge besser dem Rat zum Neu-Aufsetzen so schnell als möglich!
bis denn, stupormundi

Hi,
danke für die schnelle Antwort... Das hört sich ja garnet gut an.

Hab das Problem auch mal bei www.thespykiller.co.uk gepostet und die meinten:

First Please disable SpybotSD TeaTimer, as it may hinder the removal of the infection. You can enable it after you're clean.
To disable SpybotSD TeaTimer:

Open Spybot and click on Mode and check Advanced Mode
Check yes to next window.
Click on Tools in bottom left hand corner.
Click on System Startup icon.
Uncheck Teatimer box.
Click Allow Change box.

You can follow this link if you need help: http://russelltexas.com/malware/teatimer.htm
_ _ _ _


Download smitRem.zip and save the file to your desktop.
Right click on the file and extract it to it's own folder on the desktop.

Place a shortcut to Panda ActiveScan on your desktop.

Please download the trial version of Ewido Security Suite here:
http://www.ewido.net/en/download/

Please read Ewido Setup Instructions
Install it, and update the definitions to the newest files. Do NOT run a scan yet.

If you have not already installed Ad-Aware SE 1.06, follow these download and setup instructions, otherwise, check for updates:
Ad-Aware SE Setup
Don't run it yet!

Next, please reboot your computer in SafeMode by doing the following:

* Restart your computer
* After hearing your computer beep once during startup, but before the Windows icon appears, press F8.
* Instead of Windows loading as normal, a menu should appear
* Select the first option, to run Windows in Safe Mode.

Now scan with HJT and place a checkmark next to each of the following items:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
O4 - HKLM\..\Run: [RegSvr32] C:\WINNT\system32\msmsgs.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe

Open the smitRem folder, then double click the RunThis.bat file to start the tool. Follow the prompts on screen.
Wait for the tool to complete and disk cleanup to finish.


Open Ad-aware and do a full scan. Remove all it finds.


Now open Ewido Security Suite

* Click on scanner
* Make sure the following boxes are checked before scanning:
o Binder
o Crypter
o Archives
* Click on Start Scan
* Let the program scan the machine

While the scan is in progress you will be prompted to clean files, click OK
Once the scan has completed, there will be a button located on the bottom of the screen named Save report

* Click Save Report
* Save the report to your desktop

Close Ewido

Next go to Control Panel click Display > Desktop > Customize Desktop > Website > Uncheck "Security Info" if present.

Reboot back into Windows and click the Panda ActiveScan shortcut, then do a full system scan. Make sure the autoclean box is checked!
Save the scan log and post it along with a new HijackThis Log and the Ewido Log by using Add Reply.
Let us know if any problems persist.


Also, Format C: oder könnte auch das reichen???

Lg