hey ihr lieben,
ich bin am pc der absolute looser. kenn mich mit diesem ganzen sytem kram gar nicht aus und bin schon froh dass ich es jetzt geschafft habe diesen log zu erstellen. diese ganzen popup werbefenster und dieser winfixer machen mich bekloppt. kann sich vielleicht jemand meinen log durchschauen und mir sagen was ich machen sol. hab mir auch schon die killbox runtergeladen.
help!!
danke schonmal und nen lieben gruss
claudio



Logfile of HijackThis v1.99.1
Scan saved at 10:58:30, on 17.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\WLAN Monitor\wlconfig.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\BearShare\BearShare.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\SONYER~1\COMMUN~1\MOBILE~1\EPMWOR~1.EXE
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\***~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für KillBox.zip\KillBox.exe
C:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.t-online.de/service/redir/tosw4_start.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [WorksFUD] c:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] c:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [wlconfig] C:\Programme\WLAN Monitor\wlconfig.exe -autostart
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\RunOnce: [1C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\pft1~tmp\] C:\WINDOWS\System32\CMD /C RMDIR /s /q C:\DOKUME~1\***~1\LOKALE~1\Temp\pft1~tmp
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SFS6] "C:\Programme\Steganos Secure FileSharing 6\sfs.exe" /booting
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: &Search - http://h**p://ky.bar.need2find.com/K...arch.html?p=KY
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=h**p://www.freenet.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://h**p://xtraz.icq.com/xtraz/ac...deoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102030592842
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123944407156
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - h**p://a532.g.akamai.net/7/532/6712/0b303dcb9df0fd/player.virtools.com/downloads/player/Install2.0/Installer.exe
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Hi, einiges ist drauf. Lasse mal Blacklight scannen und berichte was gefunden wurde. Den Rest dann machen wir manuell.
cacatoa

der spuckt mir da eine kilometerlange liste aus. was soll ich dir hier rein kopieren, was nicht?

Hallo,
das läßt nichts gutes vermuten. Falls es Wiederholungen mit ähnlichen Namen gibt (z.B. Cache) kannst du diese bis auf einen Beispieleintrag rauslaßen, wichtig sind die verschiedenen versteckten exe, dll, oder sys Dateien.


Grüße Wildone

oh mann... ich habe wirklich keinen blassen schimmer von alldem. das waren ein paar tausen zeilen, aber alle irgendwie so:

12/17/05 11:37:02 [Info]: Hidden file: C:\Programme\Jav zone\Cache\0000001c_439b1bc3_00044aa2

das andere was ich rausfiltern konnte war das:

12/17/05 11:36:55 [Info]: BlackLight Engine 1.0.30 initialized
12/17/05 11:36:55 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/17/05 11:36:58 [Info]: Hidden process: C:\WINDOWS\SYSTEM32\SHDNTLOG.EXE
12/17/05 11:36:58 [Info]: Hidden process: C:\PROGRAMME\JAV ZONE\CNESETHC.EXE
12/17/05 11:37:02 [Info]: Hidden file: C:\Programme\Jav zone\ace.dll
12/17/05 11:37:02 [Info]: Hidden file: C:\Programme\Jav zone\Cache\0000001c_439b1bc3_00044aa2
12/17/05 11:44:06 [Info]: Hidden file: C:\WINDOWS\system32\drivers\rdbeyim3.sys
12/17/05 11:44:15 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\SHDNTLOG.EXE

ich hoffe ich hab da jetzt nichts rauskopiert was rein gar nicht weiterhilft...

Hallo,
gleich mal vorneweg, das sind Teile eines Rootkits, diese graben sich leider so tief ins System ein das man sie nicht beseitigen kann, damit solltest du dein System formatieren, eine Anleitung wie du dabei vorgehen solltest findest du hier.
Um nochmal meine Neugier zu befriedigen was das genau ist könntest du Blacklight nochmal laufen lassen und die genannten Dateien umbenennen (mit dem "Rename" Button von Blacklight), außer C:\WINDOWS\system32\wbem\wbemtest.exe. Dann sollten die Dateien unter ihren Pfaden mit folgenden Namen zu finden sein:
C:\WINDOWS\SYSTEM32\SHDNTLOG.EXE.REN
C:\PROGRAMME\JAV ZONE\CNESETHC.EXE.REN
.
.
.
diese Dateien untersuchst du dann hier und postest das Ergebnis.


Grüße Wildone