Gleich zu Anfang:


Logfile of HijackThis v1.99.1
Scan saved at 19:25:47, on 22.04.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\mssearchnet.exe
C:\WINDOWS\System32\nvctrl.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Steganos Security Suite 5\spm.exe
C:\DOKUME~1\JANPHI~1\EIGENE~1\ASEMBL~1\alg.exe
C:\WINDOWS\a?sembly\c?rss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SLEE401.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\The Cleaner\tca.exe
C:\Programme\The Cleaner\tcm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\*******\Desktop\Sicherheit\HJT\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R3 - URLSearchHook: (no name) - {CEA4E805-72C5-4F4C-B32C-2817546B75C8} - C:\WINDOWS\System32\ncn.dll (file missing)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {edbf1bc8-39ab-48eb-a0a9-c75078eb7c8e} - C:\WINDOWS\System32\hpA890.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [_Cat1] C:\WINDOWS\nmmst.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [SpywareQuake.com] C:\Programme\SpywareQuake.com\Spyware-Quake.exe /h
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SSS5SPM] "C:\Programme\Steganos Security Suite 5\spm.exe" /booting
O4 - HKCU\..\Run: [Umon] "C:\DOKUME~1\******~1\EIGENE~1\ASEMBL~1\alg.exe" -vt yazr
O4 - HKCU\..\Run: [Diqjdy] C:\WINDOWS\a?sembly\c?rss.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {DE6C781F-25A6-469A-85B4-5A557E534FE4} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {DE6C781F-25A6-469A-85B4-5A557E534FE4} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114854209681
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O20 - Winlogon Notify: winzue32 - winzue32.dll (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Steganos Live Encryption Engine (Version 401) [Service] (SLEE_401_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE401.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe




Ich werd bescheuer! Pc von meinem Kumpel.

Übel infiziert und ich am Ende.

Kav, TheCleaner, Ad-Aware, CWS alle was gefunden, alle was gelöscht trotzdem noch blinkendes Dreieck und ein anderes Symbol in der Tskleiste. (jede Menge Trojaner ca.8, adWare, Spyware usw.)Laufen Aufforderungen ich soll dies und das tun; ihr kennt das.
Außerdem ständig Alarm von TCMonitor das system Dateien verändert werden; garnicht gut.
eScan mach ich jetzt aber Kav ist ja schon drüber.
Und bidde keinen Komentare über die xp-Version. Nicht mein Rechner und Updates können aus Gründen nicht gemacht werden die sich bestimmt jeder denken kann ich aber hier nicht nennen werde.

Hier die Prozesse aus TCMonitor:

0 System Idle Process System Idle Process
4 System System
492 smss.exe \SystemRoot\System32\smss.exe
552 csrss.exe C:\WINDOWS\system32\csrss.exe Client Server Runtime Process
576 winlogon.exe C:\WINDOWS\system32\winlogon.exe Windows NT Logon Application
620 services.exe C:\WINDOWS\system32\services.exe Anwendung für Dienste und Controller
632 lsass.exe C:\WINDOWS\system32\lsass.exe LSA Shell (Export Version)
808 svchost.exe C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services
860 svchost.exe C:\WINDOWS\System32\svchost.exe Generic Host Process for Win32 Services
972 svchost.exe C:\WINDOWS\System32\svchost.exe Generic Host Process for Win32 Services
1000 svchost.exe C:\WINDOWS\System32\svchost.exe Generic Host Process for Win32 Services
1064 spoolsv.exe C:\WINDOWS\system32\spoolsv.exe Spooler SubSystem App
1316 Explorer.EXE C:\WINDOWS\Explorer.EXE Windows Explorer
1564 kavsvc.exe kavsvc.exe
1608 mssearchnet.exe C:\WINDOWS\System32\mssearchnet.exe
1640 nvctrl.exe C:\WINDOWS\System32\nvctrl.exe
1700 jusched.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
1720 kav.exe kav.exe
1736 ctfmon.exe C:\WINDOWS\System32\ctfmon.exe CTF Loader
1744 spm.exe C:\Programme\Steganos Security Suite 5\spm.exe Steganos Password Manager
1756 alg.exe C:\DOKUME~1\JANPHI~1\EIGENE~1\ASEMBL~1\alg.exe
1764 c?rss.exe C:\WINDOWS\a?sembly\c?rss.exe
1820 nvsvc32.exe C:\WINDOWS\System32\nvsvc32.exe NVIDIA Driver Helper Service, Version 21.83
1980 SLEE401.exe C:\WINDOWS\System32\SLEE401.exe
2028 klswd.exe klswd.exe
1284 taskmgr.exe C:\WINDOWS\System32\taskmgr.exe Windows Task-Manager
2660 wmiapsrv.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe WMI-Leistungsadapter-Dienst
1960 tca.exe C:\Programme\The Cleaner\tca.exe The Cleaner Active Process Monitor
664 tcm.exe C:\Programme\The Cleaner\tcm.exe The Cleaner Registry and File Monitor
2724 firefox.exe C:\Programme\Mozilla Firefox\firefox.exe Firefox
3840 HijackThis.exe C:\Dokumente und Einstellungen\Jan Philip\Desktop\Sicherheit\HJT\hijackthis\HijackThis.exe HijackThis
1080 msiexec.exe msiexec.exe Windows® installer

BHO List
--------
"No Name" - C:\WINDOWS\System32\hpA890.tmp


Hilfeeeee.......



Gruß undoreal

Dich soll mal einer verstehen?! Mal kriegst du es hin, und hilfst anderen, und bei diesem (eindeutigem) LOG suchst du selber Hilfe...

Zitat:

Zitat von undoreal

..und Updates können aus Gründen nicht gemacht werden die sich bestimmt jeder denken kann ich aber hier nicht nennen werde...

Muss man nicht verstehen!?!? Oder? Das ServicePack2 kann man auch installieren, selbt wenn er keinen offiziell gültien KEY hat..aber naja!

Bei diesem LOG rate ich mehr als an das ganze System neu Aufzusetzen, nicht nur der fehlenden ServicePack´s halber, sondern bei der imensen Malware, Spyware und Trojaner Prozessen, würde eine Bereinigung länger dauern als das NEUAUFSETZEN!

Gruß
Daniel

Jetzt schert noch über mich! mir is grad nich nach scherzen und an HJT-Logs und LSPfix trau ich mich nicht so über den Daumen ran. Erklärt mir ja auch niemand..!.. Siehe passendes Thema von mir.

Aber danke für den schnellesn post. Ich weiss, neuaufsetzen muss ich eh aber ich brauch erstmal ruhe sonnst kann ich nicht schlafen und ein par dateien will er schon sichern und das geht im Mom. definitiv nicht!! Nur noch Schrott.

Also pleaeaeaeas First Aid


Gruß Undoreal

Hey Leute, (immer noch vom Freundes Rechner)

schade, dass Niemand hilft.

Hab jetzt alles getan was ich konnte, bei einigen Einträgen in HJT bin ich mir unsicher d.h. lass ich die Finger davon. Im übrigen geht SP2 auch nicht drauf.
Nur weil ich anderen helfe und ein bischen Ahnung von HJT und allem anderen habe, heißt das nicht, dass ich nie Hilfe brauche!! Ist ja nicht so, dass ich das Problem nicht selber bearbeiten könnte nur ist jetzt halt fast alles weg nur ein Trojaner sitzt fest, er will nicht neuaufsetzten und ich bin am Ende. HJT- Log an dieser Stelle nicht denn es bemüht sich ja eh keiner. Schade, hätte gedacht wenn ich mal Hilfe brauche kommt mehr.
Aber egal

Bis dann Undoreal

Wenn SP2 sich nicht installieren lässt, deutet alles darauf hin, dass es keine legale XP-Version ist.

Danke, dass wenigstens jemand postet...

Weiss ich ja selber. aber weiter unten wurde gesagt SP1 geht beim illegalen Key nicht SP2 schon. Wollte ich auch nicht glauben; hab's probiert -> geht nicht.

Du 'ne wirkliche Ahnung von HJT.Logs? bräuchte Jemanden der besser ist als ich. Siehe unten.

cu undoreal

Microsoft hat die 20 am weitesten verbreiteten Seriennummern im Service Pack 2 für Windows XP gesperrt!

Außerdem schrieb ich bereits das das säubern dieses Systems viel zu lange dauern würde bei dem Befall...

Gruß
Daniel

Einen PC zu säubern, der sich nicht patchen und updaten lässt, ist vertane Zeit. In spätestens einer Woche ist er wieder verseucht.

Ich kann Dir da nicht helfen, da ich mich mit der Auswertung von HJT-Logs nicht auskenne.