Könnte jemand mal nachsehen wo der Trojaner versteckt ist.

Jaja, gerne - und wo?
Wie wäre es mit einem HJT Logfile und einer ausführlichen Problembeschreibung?
stupormundi

Logfile of HijackThis v1.99.1
Scan saved at 10:28:08, on 18.1.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\NavNT\vptray.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\anti_troj.exe
C:\WINNT\system32\anti_troj.exe
C:\Programme\NetCommy\NetCommy.exe
C:\Programme\PrintKey2000\Printkey2000.exe
C:\WINNT\explorer.exe
C:\Programme\lotus\notes\NLNOTES.EXE
C:\Programme\lotus\notes\ntaskldr.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
\File-server\Daten\Laudensack\Eigene Dateien\HiJack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {46577142-1D10-457D-9EE7-570DABDF8A0E} - C:\WINNT\system32\COMCAT32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [winshost.exe] C:\WINNT\system32\winshost.exe
O4 - HKLM\..\Run: [anti_troj] C:\WINNT\system32\anti_troj.exe
O4 - HKLM\..\Run: [key2] C:\WINNT\system32\winlog.exe
O4 - HKCU\..\Run: [winshost.exe] C:\WINNT\system32\winshost.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [anti_troj] C:\WINNT\system32\anti_troj.exe
O4 - HKCU\..\Run: [key2] C:\WINNT\system32\winlog.exe
O4 - Startup: Lotus Notes 6 (2).lnk = C:\Programme\lotus\notes\notes.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NetCommy-Autostart.lnk = C:\Programme\NetCommy\NetCommy.exe
O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .pl: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = FIRNER-GmbH.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = FIRNER-GmbH.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = FIRNER-GmbH.local
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: OracleOraHome817ClientCache - Unknown owner - C:\Oracle8Client\BIN\ONRSD.EXE

Servus wieder!
So ist es übersichtlicher!
Du hast Dir ja einiges eingefangen!
Den und den und den und wahrscheinlich einiges anderes, was von diesen Böslingen nachgeladen worden ist, aber hier im Logfile nicht aufscheint, auch noch!
Um eine genaueres Bild zu bekommen lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!
Und nicht wieder einen neuen thread eröffnen!
Und zuletzt: Falls es ein Firmenrechner ist, bitte mit Deinem IT-Admin Kontakt aufnehmen - das ist dann dessen Bier und wir sind hier raus!
stupormundi

kurz einmisch:
@Drehteil,

das sieht nach einem Firmenrechner aus. Falls ja, solltest Du Dich mit dem zuständigen IT-Spezie in Verbindung setzen.

dartus

Hi stupermondi.

Querposting!

Anm.
-------------------
Beitrag wurde aus diesem Thread gelöst -> http://www.trojaner-board.de/showthread.php?t=25974

Gruß Cidre
Admin TB

Hi dartus!

Zitat:

Querposting

*AMOK*

@drehteil: 1 ein thread für ein Problem!
außerdem was dartus' Vermutung wegen des Firmenrechners angeht: Wenn es wirklich einer ist (wie es tatsächlich scheint) sind wir hier draußen, denn das ist alleine Sache Deiner IT-Admins (bei dieser Verseuchung umso mehr)
stupormundi

Anm.
-------------------
Beitrag wurde aus diesem Thread gelöst -> http://www.trojaner-board.de/showthread.php?t=25974

Gruß Cidre
Admin TB