Hallo liebe Helferlein

eine Freundin öffnete gestern einen Link zu einer vermeindlichen Grußkarte auf meinem Rechner und ich bekam den Trojaner TR/PSW.LdPinch.jm1 und den HTML Scriptvirus HTML/Exploit.Mhtml geschenkt.
Hier mein Logfile

Logfile of HijackThis v1.99.1
Scan saved at 09:57:58, on 19.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\KeirNet\K9\K9.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\kittylie\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Launch K9.lnk = C:\Programme\KeirNet\K9\K9.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095669545015
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

Was soll ich tun? Ich hoffe es ist noch nicht allzu schlimm ...
Ganz vielen Dank für eure Hilfe im Vorraus!
Estrela

Hi Estrela,

Zitat:

O4 - Startup: Launch K9.lnk = C:\Programme\KeirNet\K9\K9.exe

sieht zwar bedenklich aus auf den ersten Blick, ist aber nicht gefährlich. K9 ist das Spam Filter Programm K9 von Robin Keir.



Trotzdem Bitte auf die Experten, Admins und Moderatoren Meinungen abwarten.


Ansonsten sieht es meiner Meinung nach sehr sauber aus.
Das sauberste was ich bis jetzt gesehen habe.

mfG

Alpay


PS: scheint so dass HTML/Exploit.Mhtml nichts angerichtet hat.

Hallo Alpay

ganz vielen Dank für die super schnelle Antwort!
Dann bin ich schonmal beruhigt... wie gesagt es war gestern abend..
vielleicht weil ich ihn so schnell bemerkt hab..muss ich dann nichts "bereiningen"?
Ich warte dann noch auf die Antworten!
Danke danke!!!

Zitat:

eine Freundin öffnete gestern einen Link zu einer vermeindlichen Grußkarte auf meinem Rechner und ich bekam den Trojaner TR/PSW.LdPinch.jm1 und den HTML Scriptvirus HTML/Exploit.Mhtml geschenkt.

Lösche bitte zunächst alle Temp-File z.B. mit www.clearprog.de
Wo wurde der Trojaner gefunden (z.B. C:\Windows\abcd.exe)?

Zitat:

O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\kittylie\LOKALE~1\Temp\mwavscan.com" /s

eScan wurde falsch entpackt! Lies bitte die Anleitung durch und führe dann einen erneuten Scan durch.

Ansonsten kann ich '!alpay!' nur zustimmen, das Log schaut sauber aus.

Hallo lieber Haui

also hab alle Temp Files wie befohlen gelöscht, dann eScan ordenltlich entpackt, der erzählt mir eine lange Geschichte von Viren (18), die er findet:
Hier ein Ausschnitt

Object gain.gator Spyware/Adware found in File System. No action taken
Object claria Spyware/Adware found in File System. No action taken
Object EverAd Spyware/Adware found in File System. No action taken
Object gain.gator Spyware/Adware found in File System. No action taken
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModulUsage"refers to invalid object"C:\Windows\System32\iuvtl.dll."No action taken
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Windows\System32\iuctl.dll. No action taken
Das geht dann immer so weiter....
Entry "HKCU..
Entry"HKCR..
DAnn am Ende sagt er noch
File C:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll tagged as "not a virus: AdWare Gator.6041" No action taken
File C:\Programme\Gemeinsame Dateien\GMT\eglEEngine.dll tagged as "not-a-virus.Gator6041." No avtion taken
File C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll tagges as "not-a-virus:AdWare Gator 6041 No action taken
File C:\Programme\Gemeinsame Dateien\GMT\Guninstaller.exe tagged as "not-a-virus: adWare.Gator6041" No action taken.

Ja das war also nur der Anfang und das Ende vom eScan.... Jedenfalls findet eScan was, AntiVir jedoch nicht mehr
Vielen vielen Dank nochmal für die schnelle Hilfe!!
Super das es so ein Forum gibt! (Hoffentlich werdet ihr ordentlich entlohnt dafür;-))

Hallo,

kannst du das Ergebnis bitte noch mal mit der Find.bat posten?

Lösche diese Ordner:
C:\Programme\Gemeinsame Dateien\CMEII\
C:\Programme\Gemeinsame Dateien\GMT

Scanne mit Spybot Search&Destroy und Ad-Aware. Lass' alle Probleme beheben.