Logfile of HijackThis v1.99.1
Scan saved at 20:14:39, on 15.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\msole32.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\intell32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\intmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\popuper.exe
C:\WINDOWS\system32\intmonp.exe
C:\WINDOWS\system32\shnlog.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\\Eigene Dateien\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hpAF2B.tmp (file missing)
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\system32\intell32.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] F:\HL2\\Steam.exe -silent
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O20 - Winlogon Notify: style32 - C:\WINDOWS\q746484.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



Desweiteren poste ich ein scan log von einem andern virenscanner


intmon.exe C:\WINDOWS\system32\intmon.exe Troj/Puper-D
intmonp.exe C:\WINDOWS\system32\intmonp.exe Troj/Puper-D
shnlog.exe C:\WINDOWS\system32\shnlog.exe Troj/Puper-A
administrator@atwola C:\Dokumente und Einstellungen\Administr atwola.com
[1].txt ator\Cookies\administrator@atwola[1].txt
administrator@trafic C:\Dokumente und Einstellungen\Administr Tracking Cookie
[1].txt ator\Cookies\administrator@trafic[1].txt
administrator@com[2] C:\Dokumente und Einstellungen\Administr Com.com
.txt ator\Cookies\administrator@com[2].txt
administrator@2o7[2] C:\Dokumente und Einstellungen\Administr 2o7
.txt ator\Cookies\administrator@2o7[2].txt
admi nistrator@as1.fa C:\Dokumente und Einstellungen\Administr Tracking Cookie
lkag[1].txt ator\Cookies\administrator@as1.falkag[1]
.txt
administrator@search C:\Dokumente und Einstellungen\Administr CWS.gen
portal.information[1 ator\Cookies\administrator@searchportal.
].txt information[1].txt
admi nistrator@c.gocl C:\Dokumente und Einstellungen\Administr Tracking Cookie
ick[2].txt ator\Cookies\administrator@c.goclick[2].
txt
msmsgs.exe C:\WINDOWS\system32\msmsgs.exe Messenger.VirusWarning
shnlog.exe C:\WINDOWS\System32\shnlog.exe Troj/Puper-A
hhk.dll C:\WINDOWS\System32\hhk.dll Troj/Puper-D
intmon.exe C:\WINDOWS\System32\intmon.exe Troj/Puper-D
intmonp.exe C:\WINDOWS\System32\intmonp.exe Troj/Puper-D
administrator@ivwbox C:\Dokumente und Einstellungen\Administr Ivwbox
[1].txt ator\Cookies\administrator@ivwbox[1].txt
adsldpbc[1].dll Infected C:\Dokumente und Einstellungen\Administr BehavesLike:Trojan.TrustedZone
ator\Lokale Einstellungen\Temporary Inte
rnet Files\Content.IE5\I8XLCS6X\adsldpbc
[1].dll
l[1].exe Infected C:\Dokumente und Einstellungen\Administr BehavesLike:Win32.ExplorerHija
ator\Lokale Einstellungen\Temporary Inte ck
rnet Files\Content.IE5\JPDMABXP\l[1].exe
popuper.exe C:\WINDOWS\popuper.exe Troj/Puper-E


Wie kann ich den ganzen Driss wieder los werden. Vielen Dank schonmal im vorraus

Gibt es auch ne Einleitung zu deinem Problem oder zumindest ne Begrüßung - des Anstands wegen.

http://www.trojaner-board.de/showthread.php?t=21709

Hallo zusammen!

Nachträglich noch mal die fehlende Begrüßung und Problembeschreibung.


Wenn ich den PC starte meldet Spybot search and destroy das drei bösartige Aktionen festgestellt wurden.

1. intmonp.exe
2. pouper.exe
3. shnlog.exe

Diesen drei Anwendungen werden im Spybotfenster ständig neue Prozess IDs zugewiesen und es ist möglich, diese Anwendungen zu löschen. Weder mit spybot noch manuell.
Spybot kann auch nur über den Taskmanager beendet werden.

AntivirXP gibt die Fehlermeldugen.

C:\WINDOWS\SYSTEM32\HPAF89.TMP
Ist das Trojanische Pferd TR/Puper.BA.1

C:\WINDOWS\SYSTEM32\HPE267.TMP
Ist das Trojanische Pferd TR/Puper.BA.1

C:\WINDOWS\SYSTEM32\HP94CD.TMP
Ist das Trojanische Pferd TR/Puper.BA.1


Bis jetzt hat das ganze noch keine größeren Auswirkungen auf den Betrieb des Rechners, ausser das hin und wieder popups im IE geöffnet werden.

Hoffe das mit bei meinem Problem schnellstmöglich geholfen werden kann.

MfG

WerWarDat

Ups, übersehen
Lösung hat Cidre schon gepostet
chaosman

Edit: Cidre,ich werde langsam alt

@ chaosman

Den Link zur Anleitung hatte ich ihn bereits gepostet.