Logfile of HijackThis v1.99.1
Scan saved at 01:13:53, on 31.10.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\acs.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AMD\Cool'n'Quiet\GemServ.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\AMD\Cool'n'Quiet\gemback.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Programme\108Mbps Wireless LAN Adapter\WLANPRO.exe
C:\Programme\ICQLite\ICQLite.exe
F:\Winamp\winamp.exe
C:\WINNT\System32\taskmgr.exe
C:\WINNT\System32\MsiExec.exe
C:\Programme\mIRC\mirc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\FlashGet\flashget.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\explorer.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX05.140\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [checkrun] C:\winnt\system32\elitemxo32.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: 108Mbps Wireless LAN Adapter Configuration Utility.lnk = C:\Programme\108Mbps Wireless LAN Adapter\WLANPRO.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Reg.lnk = C:\Programme\108Mbps Wireless LAN Adapter\Reg.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINNT\System32\acs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\AMD\Cool'n'Quiet\GemServ.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe





wollte fragen ob man mir helfen könne. es startet sich immer bei IE von alleine popups mit irgendwelcher werbugn. das passiert nachdem ich ne datei öffnete. pokapoka79 war dabei, konnte ich aber scho entfernen. aba ich weiss nicht mehr weiter, was es sein könnte, habe wohl vermutungen aber wennsch da was putt mach endet es bös vielleicht.

also kann man mir vielleicht helfen !?

Zitat:

Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Dein System ist völlig ungeschützt!
Für Win2000 ist SP4 aktuell und der IE hat in der aktuellen Version eine 6er Nummer.
ASAP updaten!

Desweiteren scanne dein Sys zunächst mit Escan und teile uns die Ergebnisse mit!

ASAP!? ^^ *irgendwie kenne ich das nicht und oh dachte ich hätte SP4*


escan setze ich mich kurz ran.


edit: mithilfe von escan und spy bot search and destroy.. und einen reboot davor ging alles weg. keine fehlermeldeung hier schon mal danke...

jedoch kann mir vielleicht er sagen wir man fix von sp2 auf sp4 updaten kann!? *ist mir n bissi peinlich*

Hier!

Zitat:

jedoch kann mir vielleicht er sagen wir man fix von sp2 auf sp4 updaten kann!?

http://update.microsoft.com/microsof...ult.aspx?ln=de

Zitat:

Zitat von cronos

... teile uns die Ergebnisse mit!

Und was hast Du entfernt, was wurde wo gefunden?
stupormundi

naja nachdem ich die sache ndurff hatte

habe ich
O4 - HKLM\..\Run: [checkrun] C:\winnt\system32\elitemxo32.exe
rutnergehaun mit den programmen. und ja die sachen die ich vorher druff hatte diesen pokapoka79 hatte ich vorher scho ausser regedit rausgehaun.. und von elitemxo32 ka.. und bei escan logt er das irgendwie bei mir nicht.. der hatte 8 viren oder so gefunden.. und direkt alle gelöscht und ist wieder weg gegangen bevor ich irgendwas kopiren konnte.. btw danke für den link, aber wo genau kann man auf SP4 updaten?! seh dai rgendwie nix. scho okay.


edit nur beim kompletten comp scan hat escan n log erstellt das ist ziemlich
lang...
edit2: wartet hier^^
Mon Oct 31 08:56:18 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Mon Oct 31 08:56:19 2005 => Loading Spyware Signatures from new External Database (Size: 144468).

Mon Oct 31 08:56:19 2005 => System found infected with FlashGet Spyware/Adware ({a5366673-e8ca-11d3-9cd9-0090271d075b})! Action taken: Keine Aktion vorgenommen.
Mon Oct 31 08:56:19 2005 => System found infected with FlashGet Spyware/Adware ({e0e899ab-f487-11d5-8d29-0050ba6940e3})! Action taken: Keine Aktion vorgenommen.
Mon Oct 31 08:56:21 2005 => System found infected with FlashFXP Spyware/Adware ({E5A1691B-D188-4419-AD02-90002030B8EE})! Action taken: Keine Aktion vorgenommen.

Mon Oct 31 08:56:26 2005 => Offending Folder found: C:\WINNT\elitetoolbar
Mon Oct 31 08:56:26 2005 => Object "elitebar Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen.

Mon Oct 31 08:56:26 2005 => Offending value found in HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\flashget !!!
Mon Oct 31 08:56:26 2005 => Offending Folder found: C:\PROGRA~1\flashget
Mon Oct 31 08:56:26 2005 => Offending Folder found: C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\flashget
Mon Oct 31 08:56:26 2005 => Object "FlashGet Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen.

Mon Oct 31 08:56:28 2005 => Offending value found in HKCU\Software\kazaa !!!
Mon Oct 31 08:56:28 2005 => Object "kazaa Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen.



vielleicht hilft es ja.. das war beim ersten Scan nach Speicher und Registry

und dass das ergebnis beim kompletten scan danach:
Mo Okt 31 04:03:42 2005 => ***** Analyse vollständig. *****
Mo Okt 31 04:03:42 2005 =>
Mo Okt 31 04:03:42 2005 => Anzahl gescannter Dateien: 20920
Mo Okt 31 04:03:42 2005 => Anzahl infizierter Dateien: 3
Mo Okt 31 04:03:42 2005 => Anzahl desinfizierter Dateien: 0
Mo Okt 31 04:03:42 2005 => Anzahl der umbennanten Dateien: 0
Mo Okt 31 04:03:42 2005 => Anzahl der gelöschten Dateien: 3
Mo Okt 31 04:03:42 2005 => Anzahl Fehler: 0
Mo Okt 31 04:03:42 2005 => Dauer:: 00:21:26

infiziert waren da:
Mo Okt 31 03:45:35 2005 => Datei infiziert mit "Trojan.Win32.EliteBar.h". Vorgenommen Aktion: Datei gelöscht!
Mo Okt 31 03:45:35 2005 => Datei infiziert mit "Trojan.Win32.EliteBar.h". Vorgenommen Aktion: Datei gelöscht!
Mo Okt 31 03:45:50 2005 => Datei infiziert mit "Trojan.Win32.StartPage.nk". Vorgenommen Aktion: Datei gelöscht!

diese 3.