Hallo zusammen,

seit ein paar Tagen habe ich einen Trojaner auf meinem Rechner, kann ihn aber nicht löschen.
Langsam bin ich am Verzweifeln.

Hier ist das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 11:34:40, on 01.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\windows\mousepad15.exe
C:\Programme\webHancer\Programs\whagent.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\System32\svchost.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\_Eigene Anwendungen\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: (no name) - {6001CDF7-6F45-471b-A203-0225615E35A7} - C:\WINNT\DH.dll
O2 - BHO: (no name) - {A0FE6A83-F498-4B03-A28B-2ACAFAE6F953} - C:\Programme\MSN Gaming Zone\mebol.dll
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Programme\webHancer\programs\whiehlpr.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard15.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad15.exe
O4 - HKLM\..\Run: [newname] C:\windows\newname15.exe
O4 - HKLM\..\Run: [webHancer Agent] C:\Programme\webHancer\Programs\whagent.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Programme\webHancer\Programs\whsurvey.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O20 - Winlogon Notify: Hints - C:\WINNT\system32\g2lm0c31ef.dll (file missing)
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: Reliability - C:\WINNT\system32\guard.tmp (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe


Vielleicht kann ja jemand mal drübersehen und mir helfen.

Vielen Dank im Voraus!!!

Gruß,
Larseman

Hallo,

lade LSP Fix, ausführen,

lade L2Mfix, ausführen,

mittels HJT im abgesicherten Modus folgendes fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht*p://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ht*p://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://searchbar.findthewebsiteyouneed.com
O2 - BHO: (no name) - {6001CDF7-6F45-471b-A203-0225615E35A7} - C:\WINNT\DH.dll
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Programme\webHancer\programs\whiehlpr.dll
O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard15.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad15.exe
O4 - HKLM\..\Run: [newname] C:\windows\newname15.exe
O4 - HKLM\..\Run: [webHancer Agent] C:\Programme\webHancer\Programs\whagent.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Programme\webHancer\Programs\whsurvey.exe
O20 - Winlogon Notify: Hints - C:\WINNT\system32\g2lm0c31ef.dll (file missing)
O20 - Winlogon Notify: Reliability - C:\WINNT\system32\guard.tmp (file missing)

Dannach Killbox ( in meiner Signatur) laden und folgende Dateien löschen:
C:\WINNT\system32\guard.tmp
C:\WINNT\system32\g2lm0c31ef.dll
C:\Programme\webHancer
C:\windows\keyboard15.exe
C:\windows\mousepad15.exe
C:\windows\newname15.exe

Es kann sein, das einige Dateien nicht mehr vorhanden sind, nicht wundern.

Jetzt CCleaner laden loesche alle *temp-Datein

Dann datfind.bat laden und die vier Logs posten, nur die Dateien der letzten drei Monate abkopieren.

Gruß

Schrulli

Hallo Schrulli,

ich habe LSP-Fix und L2M-Fix heruntergeladen und installiert.
Was genau muss ich mit LSP-Fix machen?
Unter keep steht:
- mswsock.dll
- winrnr.dll
- webhdll.dll
- rsvpsp.dll

Bei L2mfix fehlt mir die l2mfix.exe, kann ich direkt die l2mfix.bat ausführen?

Gruß, Larsemann

Hallo,

- hake an: "I know what Im doing"--Remove
- und loesche die webhdll.dll (eventuell musst du die dll von links nach rechts bringen)

Bei l2mfix reicht die .bat.

Gruß

Schrulli

Hallo Schrulli,

die beiden Programme habe ich ohne Probleme ausführen können.
Allerdings konnte ich in L2MFIX die Position 4 nicht ausführen.

Muss ich nun HJT nur die oben genannten Positionen anklicken??

Gruß,
Larseman

Hallo Schrulli,

ich habe die besagten Positionen mit HJT gefixed.

Leider kann ich die ersten 2 Positionen nicht mit Killbox löschen, da ich sie nicht finden kann.
Die 3. Position (C:\Programme\webHancer) kann nicht gelöscht werden!

Ich lade jetzt trotzdem erst einmal den CC-Cleaner.

Wie muss ich mit Killbox fortfahren?

Gruß,
Larseman

Hallo Schrulli,

hier ist das Log von Datfind.


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 54A0-7F0A

Verzeichnis von C:\WINNT\system32

01.05.2006 12:37 23.055 nvapps.xml
01.05.2006 12:33 0 lo2.txtt
01.05.2006 10:32 1.676 ad.html
30.04.2006 16:05 5.496 ikhcore.log
30.04.2006 10:36 12.598 wpa.dbl
27.04.2006 16:56 3.002 CONFIG.NT
19.04.2006 09:58 597.504 aswBoot.exe
19.04.2006 09:51 90.112 AVASTSS.scr
06.04.2006 21:48 5.143.456 MRT.exe
05.04.2006 16:40 157.952 FNTCACHE.DAT
30.03.2006 11:27 1.495.040 shdocvw.dll
30.03.2006 03:52 25.600 xpsp3res.dll
26.03.2006 16:23 40.326 perfc009.dat
26.03.2006 16:23 317.168 perfh007.dat
26.03.2006 16:23 311.938 perfh009.dat
26.03.2006 16:23 48.552 perfc007.dat
26.03.2006 16:23 723.568 PerfStringBackup.INI
23.03.2006 22:33 3.076.608 mshtml.dll
18.03.2006 13:07 616.448 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
04.03.2006 06:00 669.184 wininet.dll
04.03.2006 06:00 474.624 shlwapi.dll
04.03.2006 06:00 39.424 pngfilt.dll
04.03.2006 06:00 532.480 mstime.dll
04.03.2006 06:00 146.432 msrating.dll
04.03.2006 06:00 448.512 mshtmled.dll
04.03.2006 06:00 251.904 iepeers.dll
04.03.2006 06:00 96.768 inseng.dll
04.03.2006 06:00 1.056.256 danim.dll
04.03.2006 06:00 205.312 dxtrans.dll
04.03.2006 06:00 152.064 cdfview.dll
04.03.2006 06:00 55.808 extmgr.dll
04.03.2006 06:00 1.022.976 browseui.dll
18.02.2006 16:55 176.167 rmoc3260.dll
18.02.2006 16:55 5.632 pndx5032.dll
18.02.2006 16:55 6.656 pndx5016.dll
18.02.2006 16:54 278.528 pncrt.dll
14.02.2006 22:33 7.006 jupdate-1.5.0_06-b05.log
14.02.2006 12:40 12.540 wpa.bak
10.02.2006 12:01 333 $ncsp$.inf
10.02.2006 09:32 304 results.txt
09.02.2006 17:50 16.832 amcompat.tlb
09.02.2006 17:50 23.392 nscompat.tlb
09.02.2006 17:49 488 logonui.exe.manifest
09.02.2006 17:49 488 WindowsLogon.manifest
09.02.2006 17:49 749 ncpa.cpl.manifest
09.02.2006 17:49 749 wuaucpl.cpl.manifest
09.02.2006 17:49 749 sapi.cpl.manifest
09.02.2006 17:49 749 cdplayer.exe.manifest
09.02.2006 17:49 749 nwc.cpl.manifest
09.02.2006 17:46 21.740 emptyregdb.dat
09.02.2006 17:43 0 h323log.txt



Was muss ich jetzt noch machen??

Gruß,
Larseman

Hallo,

Zitat:

Dann datfind.bat laden und die vier Logs posten, nur die Dateien der letzten drei Monate abkopieren.

Gruß

Schrulli