Hilfe: Meldung vonwegen "Virus beagle" und seite öffnet sich

tkausl · 08.04.2006, 18:17

Hallo

Ich denke mal ich hab nen Trojaner drauf!

Als erstes kommt dieses Fenster:

und dann öffnet sich direkt folgende seite:
http://amaena.com/securityworm5/de/?aid=mgwav5&lid=trojan

das is en trojaner oder?
die sch*** öffnet sich alle 30 sek, bitte helft mir!

tkausl · 08.04.2006, 18:24

ps mein hijackthis.log:

Logfile of HijackThis v1.99.1
Scan saved at 19:20:41, on 08.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\VG9iaWFzIEt1bmlja2U\command.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe
C:\Programme\xampp\mysql\bin\mysqld-nt.exe
C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Pinnacle\PCTV Sat\Remote\Remoterm.exe
C:\Programme\Anti-Blaxx 1.18\Anti-Blaxx.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\QuickTime\qttask.exe
C:\Program Files\Media Gateway\MediaGateway.exe
C:\Programme\ISTsvc\istsvc.exe
C:\WINDOWS\wpsjoi.exe
C:\Programme\webHancer\Programs\whagent.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Save\Save.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Steganos Safe 8\SAFE8.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Teamspeak2_RC2\server_windows.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\ReGetPro\regetpro.exe
C:\Dokumente und Einstellungen\Tobias\Desktop\FxBeagle.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\mspaint.exe
C:\Programme\SurfAccuracy\SAcc.exe
C:\Programme\SpeedProject\SpeedCommander 10\SpeedCommander.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Tobias\LOKALE~1\Temp\Rar$EX02.486\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,svhost.exe,
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\PCTV Sat\Remote\Remoterm.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AnyDVD] "C:\Programme\SlySoft\AnyDVD\AnyDVD.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programme\Anti-Blaxx 1.18\Anti-Blaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P and now I post my Hijack log] C:\WINDOWS\System32\warez.exe
O4 - HKLM\..\Run: [012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789 012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678912345678] C:\WINDOWS\System32\cssr.exe
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [PPrDCMDml] C:\WINDOWS\rfjaw.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad9.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [ReJf5vH] C:\WINDOWS\wpsjoi.exe
O4 - HKLM\..\Run: [webHancer Agent] C:\Programme\webHancer\Programs\whagent.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Programme\webHancer\Programs\whsurvey.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SAFE8] "C:\Programme\Steganos Safe 8\SAFE8.exe" -boot
O4 - HKCU\..\Run: [Steam] "d:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\Run: [roik] C:\PROGRA~1\GEMEIN~1\roik\roikm.exe
O4 - HKCU\..\Run: [Rsus] "C:\DOKUME~1\Tobias\EIGENE~1\RACLE~1\dllhost.exe" -vt yazr
O4 - HKCU\..\Run: [Kol] C:\Dokumente und Einstellungen\Tobias\Eigene Dateien\?dobe\l?ass.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: Registration-PCTV Sat.lnk = C:\Programme\Pinnacle\PCTV Sat\Register\RegTool.exe
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = I:\Programme\Office\Office10\OSA.EXE
O8 - Extra context menu item: A&lles mit ReGet Pro herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://I:\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Herunterladen mit ReGet &Pro - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Namo SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Namo SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Namo SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - https://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {11111111-1111-1111-1111-111111111123} - mk:@MSITStore:C:\DOKUME~1\Tobias\LOKALE~1\Temp\Rar$DI00.672\9Y%2011Y%20Girls%20Pedo%20Sex%20Kinder%20Piss%20Pee.chm::/file.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: StillImage - C:\WINDOWS\system32\lvps0977e.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\VG9iaWFzIEt1bmlja2U\command.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Besonders die O10 kommen mir verdächtig vor!

irrlicht · 09.04.2006, 11:07

Hallo tkausl,
eine sehr schöne Sammlung, die du da hast.Es ist alles dabei was das Netz so an Üblem zu bieten hat.Schuld daran ist das :
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106
dein Hang zu geklauter Software und ein eifriges Klicken auf alles was nicht bei zwei verschwunden ist.Eine Bereinigung ist so kaum möglich und viel zu zeitintensiv.Neuaufsetzen !
Unter "Anleitungen,FAQ,Links" gibt es eine Anleitung dazu.Besorge dir Das SP2,entweder von MS downloaden und auf CD brennen oder Bestelle die SP2-CD kostenlos bei MS.
Irrlicht

BataAlexander · 09.04.2006, 11:15

Hallo,

Zitat:

Zitat von tkausl

O4 - HKLM\..\Run: [I downloaded pirated Software from P2P and now I post my Hijack log] C:\WINDOWS\System32\warez.exe

neben dem Patchstand liegt hier das Problem, überprüfe Dein Human Interface Device auf Unregelmäßigkeiten bei der Software Akquise. Poste das Ergebnis hier.

Gruß

Schrulli

tkausl · 09.04.2006, 11:50

zum 1ten poster:
ich weis, service pack 1 ist nicht gut, aber wenn ich versuche das SP2 zu installieren kommt ein fehler, bewstimmt auch wegen wirus

zum 2ten poster:
was soll ich machen?

**Sunny** · 09.04.2006, 12:01

was der 2.te Poster meint, ist das du deine Surfgewohnheiten überdenken solltest. (keine Cracksites, oder Codesites mehr)
Denn HID (Human Interface Device) ist übersetzt ein EINGABEGERÄT, sprich TATSTAUR , MAUS etc. !

Wie ich dem 1.ten Poster nur zustimmen kann, setz dein System so schnell wie nur möglich neu auf..

Gruß
Daniel

tkausl · 09.04.2006, 20:10

Zitat:

Zitat von [Gc]Sunny

was der 2.te Poster meint, ist das du deine Surfgewohnheiten überdenken solltest. (keine Cracksites, oder Codesites mehr)
Denn HID (Human Interface Device) ist übersetzt ein EINGABEGERÄT, sprich TATSTAUR , MAUS etc. !

Wie ich dem 1.ten Poster nur zustimmen kann, setz dein System so schnell wie nur möglich neu auf..

Gruß
Daniel

Neu aufsetzen ist schlecht

will nur den trojaner weghaben, dass sich ständig diese Internetseiten öffnen.
Die anderen sind mir egal!

vieleicht könnt ihr mir noch sagen, wie ich den einen trojaner wegbekomme?

**Sunny** · 09.04.2006, 20:21

wie kriegt man deinen Trojaner nur weg? Sowie Spyware, Hijacker und die Würmer die sich auf deinem System rumtrollen?

Also. starte deinen PC neu, lege vorher die WINXP CD ins Laufwerk, starte von CD, warte bis der Installations Bildschirm kommt, lösche alle Partitionen, erstelle 2 bis 3 neue, und Installiere WINXP NEU!

Nur so kriegst du den Trojaner weg!

Nein mal ganz im Ernst, nicht nur das es Stunden bäuchte bis jemand von uns jede Zeile deines logs überprüft, sondern darfst du nicht vergessen das es immerhin "nur" eine Ferndiagnose ist die wir erstellen!
Ich hab nur mal kurz gezählt, es sind in etwa 40 Zeilen (unterschiedlichstem Müll) die gefixt/gelöscht werden müssen. Nur leider kann man nun mal nicht alles mit HijackThis fixen und alles ist wieder in Ordnung! Dann fehlt noch das SP2 & & &

Das sind zuviele Faktoren um nur "einen Trojaner" sicher zu entfernen ...

tkausl · 09.04.2006, 20:50

Zitat:

Zitat von [Gc]Sunny

wie kriegt man deinen Trojaner nur weg? Sowie Spyware, Hijacker und die Würmer die sich auf deinem System rumtrollen?

Also. starte deinen PC neu, lege vorher die WINXP CD ins Laufwerk, starte von CD, warte bis der Installations Bildschirm kommt, lösche alle Partitionen, erstelle 2 bis 3 neue, und Installiere WINXP NEU!

Nur so kriegst du den Trojaner weg!

Nein mal ganz im Ernst, nicht nur das es Stunden bäuchte bis jemand von uns jede Zeile deines logs überprüft, sondern darfst du nicht vergessen das es immerhin "nur" eine Ferndiagnose ist die wir erstellen!
Ich hab nur mal kurz gezählt, es sind in etwa 40 Zeilen (unterschiedlichstem Müll) die gefixt/gelöscht werden müssen. Nur leider kann man nun mal nicht alles mit HijackThis fixen und alles ist wieder in Ordnung! Dann fehlt noch das SP2 & & &

Das sind zuviele Faktoren um nur "einen Trojaner" sicher zu entfernen ...

es geht ja nicht um alle, sondern nur den einen ...

rotaran · 09.04.2006, 21:20

Ich glaub Dir kann mann nicht helfen. Entweder Du setzt dein System neu auf ... oder jammerst noch a bisserl mehr rum.......

BataAlexander · 10.04.2006, 01:31

Hallo,

@tkausl: Auf deinem Rechner befinden sich diverse Schadprogramme.
Dein Umgang mit dem System scheint nicht sonderlich pfleglich zu sein und Du bist wohl jemand, der sich gern mal was "nettes" runterläd.
Das ist keine Moralpredigt, ich will Dir erklären, warum eine Bereinigung des Systems nicht sinvoll ist.
Wenn ich Dein HJT Log nur überfliege, finde ich schon drei Einträge, die ein Neuaufsetzten erforderlich machen
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,svhost.e xe,
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P and now I post my Hijack log] C:\WINDOWS\System32\warez.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

Hier findest Du einige Links, die Dir die Problematik näher erklären und in meiner Signatur die Anleitung zum Neuaufsetzen

Gruß

Schrulli

Hilfe: Meldung vonwegen "Virus beagle" und seite öffnet sich

Plagegeister aller Art und deren Bekämpfung: Hilfe: Meldung vonwegen "Virus beagle" und seite öffnet sich