Hallo zusammen, bin heute erstmalig mit virenbefall konfrontiert worden, mein antivir meldete mir eine gefährliche datei mit backdoorverhalten ...
hab erstmal versucht mit antivir zu löschen , kommt aber immer wieder das ding und legt sich einen ordner in Gemeinsame dateien an der heisst ppllphtl oder bfcncjbpa , ich hab scho probleme gehabt im task man die prozesse zu unterscheiden welche sein müssen u welche nicht deswegen wäre ich echt froh wenn sich jemand die mühe machen könnte mein mit hjt erstelltes Log zu lesen und mir evtl weiter hilft das denn zu fixen , davon habsch nämlich koa ahnung . schonma dank im vorraus an euch alle schön das es solche wie euch gibt....
ich weiss nur mal wieder , dass ich viel zu wenig weiss
Logfile of HijackThis v1.99.1
Scan saved at 22:24:28, on 20.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Valve\Steam\Steam.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avant Browser\avant.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\++++\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wbw.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - hxxp://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{081C45E1-F018-4EA2-BC32-67AC0372189E}: NameServer = 192.168.0.1,0.0.0.0
O17 - HKLM\System\CS1\Services\Tcpip\..\{081C45E1-F018-4EA2-BC32-67AC0372189E}: NameServer = 192.168.0.1,0.0.0.0
O17 - HKLM\System\CS2\Services\Tcpip\..\{081C45E1-F018-4EA2-BC32-67AC0372189E}: NameServer = 192.168.0.1,0.0.0.0
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

das is das log was HijackThis nach dem löschen von jener datei gemacht . jetzt ist die datei wieder da( aber in dem log habichs jetzte nich gesehen?)
also ich wart dann mal auf eure antwort....

Hallo alec_empire,

downloade
Adaware
Spybot S&D. Installieren und updaten.

Deinstalliere über Systemsteuerung/Software --> Gain oder Gator sowie weitere die unbekannte Programme.

Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken):

O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

Lösche folgende Ordner (falls noch vorhanden) manuell:
C:\Programme\Gemeinsame Dateien\CMEII
C:\Programme\Gemeinsame Dateien\GMT

Papierkorb leeren

Mit Adaware und Spybot scannen und alle Funde löschen.

Neustart -> Systemwiederherstellung kann wieder aktiviert werden

Benutze zum Surfen zukünftig einen sicheren Browser .

Neues Logfile und berichten

dartus

>>Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken):<<

bis hierhin erstmal alles runtergeladen und installiert , adaware startete gleich und meldete auch diesen GAIN und noch so n claria, soweit ich vermute hängt der mit dem aktuellen Divx-player und codec zusammen den ich kürzlich runtergeladen hab. das mit dem link versteh ich schon nicht, soll ich den aus´m abgesicherten modus starten?? jedenfalls gibst den link so irgendwie nicht mehr... laut bsi seite(die gibbet noch). achja den divxplayer hab ich ersma vorsorglich deinstalliert.. sonst hab ich keine unbekannten inner software die ich über systemsteuerung löschen wolltesolltemüsste....
ansonsten bräuchtsch noch ne ansage wie ich die systemwiederherstellung aussschalt oder wie das mit dem link gemeint ist, vielleicht seh ich echt nimmer durch vorab zwischendurch schonma ein kleines RIESENDANKE für die hilfe :aplaus:

In dem Link ist ein l zuviel, versuche diesen:

http://www.systemwiederherstellung-d...indows-xp.html

Der funktioniert!

>>Der funktioniert![/QUOTE]<< ok .musste auch erstma schlafen war heut morgen echt froh und überrascht sofort antwort zu kriegen , habs gestern noch prob. aber so unkonzentriert wollt ich nichs verbacken...
jetzt hab ich gleich das näxte problemchen, nach deaktivierung der systemwiederherstellung , lässt sich mein pc nicht im abgesicherten modus hochfahren.nachdem ich mich als administrator anmelde verreckt der beim benutzereinstellungen laden (hab wirklich 15-20min gewartet). so fährt er normal hoch....
jetzt habsch noch fragen : ihr schreibt mir ich solle zum surfen einen vernünftigen browser benutzen, ich habe auf empfehlung eines freundes den avant gewählt , weil der mir versicherte der avant stopft die löcher die der ie hat und funzt sonst ähnlich und ich fands halt bequem fast die selbe benutzeroberfläche zu haben .... das messenger auch nicht sinnvoll ist zu benutzen weiss ich ja eigentlich auch ,sorry, is Trillian z.b. o.k.?
ansonsten wollt ich fragen ob ich nochmal n HJTlog machen soll , oder ob das ohne die löschung im abgesicherten eh nix bringt??.....
ansonsten (das ich nicht in den abgesicherten komm,was ja schon schei... ist) läuft ja eigentlich alles normal(aus meiner bescheidenen sicht) auch die immer wieder erscheinenden ord´ner in gemeinsame dateien tauchen nicht mehr auf....????

Hallo erstmal.
Also ich habe auch diesen Agent AY.
Habe CME II und GMT erstmal gelöscht. Ebenso Gator.
Der Ordner, der sonst immer erstellt wurde wird ebenfalls nichtmehr erneuert und AntiVir zeigt seitdem auch keine meldung mehr an.
Ich wollt daher fragen, ob ich hir auch mal ein Logfile reinstellen soll oder, ob es nichtmehr nötig ist.
Und ich wollte auch fragen ob der AgentAY sytemeinstellungen verändert haben kann die trotzdem noch zugriff aufs Systhem von außen erlauben? Bzw. ob dies überhaupt möglich ist, da ich hinter einem Router sitze mit stets eingeschalteter Firewall.

Schonmal danke im Vorraus!

MFG

Zitat:

Zitat von Succubbus

Hallo erstmal.
Also ich habe auch diesen Agent AY.
Habe CME II und GMT erstmal gelöscht. Ebenso Gator.
Der Ordner, der sonst immer erstellt wurde wird ebenfalls nichtmehr erneuert und AntiVir zeigt seitdem auch keine meldung mehr an.
Ich wollt daher fragen, ob ich hir auch mal ein Logfile reinstellen soll oder, ob es nichtmehr nötig ist.
Und ich wollte auch fragen ob der AgentAY sytemeinstellungen verändert haben kann die trotzdem noch zugriff aufs Systhem von außen erlauben? Bzw. ob dies überhaupt möglich ist, da ich hinter einem Router sitze mit stets eingeschalteter Firewall.

Schonmal danke im Vorraus!

MFG

Wenn Du den Verdacht hast, auch mit diesem Mist verseucht zu sein, dann poste bitte ein neuen Thread. Mehrere überschneidende Logs, also Logs von verschiedenen Systemen in einem Thread machen die Sache nur unnötigerweise unübersichtlich.