Hallo,

ich habe ein Problem. Habe bereits alles versucht, was ich hier im Forum fand.
Spybot findet zwar nichts mehr aber dennoch habe ich im SysTray noch immer
ein blinkendes Icon und hin und wieder die Meldung "Your Computer is infected"
Hier mein Hijack-Log. Würd mich über Hilfe freuen.

Logfile of HijackThis v1.99.1
Scan saved at 12:28:08, on 27.04.2006
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\WINNT\System32\cusrvc.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\lotus\notes\ntmulti.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\dcomcfg.exe
C:\WINNT\System32\NWTRAY.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINNT\loadqm.exe
C:\Programme\Winamp\winampa.exe
C:\DOKUME~1\**\EIGENE~1\FNTS~1\ping.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\System32\internat.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Novell\GroupWise\Notify.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Hardcopy\hardcopy.exe
C:\Dokumente und Einstellungen\**\Desktop\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*h**p://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = **
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = **<local>
O2 - BHO: Nothing - {edbf1bc8-39ab-48eb-a0a9-c75078eb7c8e} - C:\WINNT\System32\hp2F77.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [Uboe] "C:\DOKUME~1\**\EIGENE~1\FNTS~1\ping.exe" -vt mt
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Startup: MAPNEU.BAT
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GroupWise Notify.lnk = C:\Novell\GroupWise\Notify.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINNT\System32\shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E9F679A-5F31-4EC8-ACB2-C18C68F7B398}: NameServer = **
O20 - Winlogon Notify: winzzd32 - C:\WINNT\SYSTEM32\winzzd32.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINNT\System32\cusrvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: McShield - Network Associates, Inc. - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Programme\lotus\notes\ntmulti.exe

Hallo,

wie wird dieser Rechner genutzt? Sieht nach einem Produktivsystem aus.
Grüß den Admin mal uns gib ihm diesen Tip.

Gruß

Schrulli

Danke für den Tipp.
Wenn ich das Update mache, dann sollte der Trojaner auch weg sein oder muss ich da noch was anderes machen?

Funktioniert das Update auch? Weil ich hatte schonmal ein neues SP aufgespielt und danach war der Rechner platt. Das kann ich nicht riskieren.

Hallo,

Zitat:

Zitat von Schrulli

wie wird dieser Rechner genutzt?

Antwort = ?

Gruß

Schrulli

Geht dich nicht wirklich was an, oder?

Hallo,

Zitat:

Zitat von anonykatz

Geht dich nicht wirklich was an, oder?

na dann

PLONK

Gruß

Schrulli

Hä?
Jetzt hilf mir mal lieber das Ding zu entfernen...

Du glaubst doch wohl nicht im Ernst, dass wir hier in unserer Freizeit ungepatchte Firmen-PC von Schädlingen säubern. Und dann auch noch von dreist auftretenden Usern,

*PLONK*

Ach darum gehts.
Sorry, hab ich nicht gewusst.
Naja gut, dann werd ich wohl weiter suchen müssen, schade :/

Unsere Admins hier haben nicht wirklich was aufm kasten und ich bin eigentlich einer von denen die ihre Fehler gern selbst wieder beheben.

Tut mir leid... ich bin sonst eigentlich wirklich nicht so und dreist auftreten wollte ich schon gleich gar nicht.
Entschuldigt bitte, dass ich gefragt hab.

Wünsche euch noch einen schönen Tag.

Zitat:

Zitat von anonykatz

Tut mir leid... ich bin sonst eigentlich wirklich nicht so und dreist auftreten wollte ich schon gleich gar nicht.

=>

Zitat:

Zitat von anonykatz

Geht dich nicht wirklich was an, oder?

Ach so?

Wie kannst du als User überhaupt was machen? Nein, unter W2K wird man durch die Installationsroutine nicht so zum Administrator genötigt, wie unter XP.
Und durch Aufspielen eines SP war bei mir noch nie ein NT4/NT5-Rechner platt, hat zwar nicht immer funktioniert, aber platt war dann höchstens ich...(und u.U. habe ich den Rechner dann platt gemacht), aber SP4 ist seit langem quasi Pflicht.

Hallo,
das solltest du wirklich lassen, gib besser zu das du einen Bock geschoßen hast.
Es ist sehr schwierig das auf dem Computer befindliche zu entfernen, und du hast auch eine Verantwortung gegenüber sensiblen Kundendaten.
Und das euch Admins an nicht voll gepatchten Rechnern arbeiten lassen grenzt für mich an Arbeitsverweigerung.


Grüße Wildone