Hallo habe gestern meinen PC neu formatiert und mir den Virus mit dem Namen PokaPoka69 und 73 beim online gehen direkt eingefangen. Gibts noch Hoffnung, dass ich nicht schon wieder neu formatieren muss???


Logfile of HijackThis v1.99.1
Scan saved at 22:40:34, on 05.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\csrs.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\ArcorDSL\ArcorDSL.exe
C:\WINDOWS\etb\pokapoka69.exe
C:\Programme\Avant Browser\avant.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Patricia\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.myseachexplorer.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myseachexplorer.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myseachexplorer.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: 207.234.225.134 www.halifax-online.co.uk
O1 - Hosts: 207.234.225.134 ibank.barclays.co.uk
O1 - Hosts: 207.234.225.134 online.lloydstsb.co.uk
O1 - Hosts: 207.234.225.134 online-business.lloydstsb.co.uk
O1 - Hosts: 207.234.225.134 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 207.234.225.134 www.nwolb.com
O1 - Hosts: 207.234.225.134 banesnet.banesto.es
O1 - Hosts: 207.234.225.134 extranet.banesto.es
O1 - Hosts: 207.234.225.134 ebanking.bccbrescia.it
O1 - Hosts: 207.234.225.134 www.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 207.234.225.134 www.rbsdigital.com
O1 - Hosts: 207.234.225.134 oi.cajamadrid.es
O1 - Hosts: 207.234.225.134 bancae.caixapenedes.com
O1 - Hosts: 207.234.225.134 banking.postbank.de
O1 - Hosts: 207.234.225.134 meine.deutsche-bank.de
O1 - Hosts: 207.234.225.134 myonlineaccounts2.abbeynational.co.uk
O1 - Hosts: 207.234.225.134 ibank.cahoot.com
O1 - Hosts: 207.234.225.134 webbank.openplan.co.uk
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [System service73] C:\WINDOWS\\\etb\\pokapoka73.exe
O4 - HKLM\..\Run: [System service69] C:\WINDOWS\etb\pokapoka69.exe
O4 - HKLM\..\RunServices: [Windows Update System Shell] svhostcs32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{9962AA88-329C-405B-AF46-7BF6BDFF816B}: NameServer = 195.50.140.252 195.50.140.114
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Danke schonmal im Voraus
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.

LG Cidre
S-Mod TB

Tja,
nach mindestens zwei aktiven Backdoor-Trojanern habe ich aufgehört, weiter zu suchen.
Hier gibts nur eins: System neu aufsetzen!.
Sorry,
cacatoa

edit: Ein thread reicht!

@cacatoa,

jepp!

http://www.trojaner-board.de/showthread.php?t=22483

dartus

Sehe ich genauso und darum:
Ab in die Tonne...