Hallo,

habe mir den oben genannten Trojaner eingefangen, sowie ein Virus alert in der Taskleiste. Ich habe bereits das halbe Internet nach Möglichkeiten, Hilfs-Tools etc. abgesucht um das Problem zu beheben. Diverse Scans gemacht etc. Bin leider kein Profi was z.B. Registry, abgesichter Modus etc anbelangt. Kann mir jemand helfen anhand meines Log-Files ? Ich würde mich freuen über einen Lösungsansatz der von einem Laien abgearbeitet werden kann.

Vielen Dank
Pauliernie

Logfile of HijackThis v1.99.1
Scan saved at 16:53:00, on 07.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\rmctrl.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Lexmark X5100 Series\lxbabmgr.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Lexmark X5100 Series\lxbabmon.exe
D:\lotus\organize\easyclip.exe
D:\lotus\smartctr\suitest.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Arne Daedrich\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1da7dbe8-c51b-4ae4-bc6e-21863349b0b4} - C:\Programme\IntCodec\isaddon.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Protection Bar - {a2595f37-48d0-46a1-9b51-478591a97764} - C:\Programme\IntCodec\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Lotus Organizer EasyClip.lnk = ?
O4 - Global Startup: Lotus QuickStart.lnk = ?
O4 - Global Startup: Lotus SuiteStart.lnk = D:\lotus\smartctr\suitest.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148234767380
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1148235048521
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A7CB613-7993-4246-8ED9-D524A6C6BADC}: NameServer = 195.50.140.114 195.50.140.252
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - C:\WINDOWS\system32\viruxz.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo,

1.) lasss bitte folgende Datei hier auswerten: Virustotal

Zitat:

C:\WINDOWS\system32\viruxz.dll

Poste danach das Ergebnis. (mit der Maus markieren, kopieren, und in einen Beitrag einfügen!)

2.) arbeite folgende Anleitung ab: -> Entfernung Zlob

3.) Poste ein neues Hijacklog.

Gruß
Sunny

Hallo,

danke erstmal für die Hilfsbereitschaft, In dem genannten Link befinden sich zahlreiche Links zu Viren-Tools etc. Wie, Wo soll ich die genannte Datei auswerten lassen ? Da bin ich jetzt echt überfragt.

Habe doch was gefunden zu dem Link

mOIn auch,
makiere den Pfad C:\WINDOWS\system32\viruxz.dll mit der Maus --> STRG C
und bei Virustotal neben "Select File" aufs weiße Feld klicken STRG V und dann auf Send --> Warten --> ergebnisse posten
MFG

Folgendes hat Virustotal ermittelt.

AntiVir 6.35.1.0 08.07.2006 no virus found
Authentium 4.93.8 08.06.2006 no virus found
Avast 4.7.844.0 08.04.2006 Win32:Renos-H
AVG 386 08.07.2006 Generic.YQQ
BitDefender 7.2 08.07.2006 Trojan.Fakealert.CX
CAT-QuickHeal 8.00 08.07.2006 no virus found
ClamAV devel-20060426 08.07.2006 no virus found
DrWeb 4.33 08.07.2006 Trojan.Fakealert
eTrust-InoculateIT 23.72.88 08.06.2006 Win32/Spax.W!Trojan
eTrust-Vet 12.6.2328 08.07.2006 Win32/Spax!generic
Ewido 4.0 08.07.2006 Not-A-Virus.Hoax.Win32.Renos.dp
Fortinet 2.77.0.0 08.07.2006 FakeAlert.B!tr
F-Prot 3.16f 08.06.2006 no virus found
F-Prot4 4.2.1.29 08.06.2006 no virus found
Ikarus 0.2.65.0 08.07.2006 no virus found
Kaspersky 4.0.2.24 08.07.2006 not-virus:Hoax.Win32.Renos.dp
McAfee 4822 08.04.2006 FakeAlert-B
Microsoft 1.1508 08.04.2006 no virus found
NOD32v2 1.1695 08.07.2006 Win32/Hoax.Renos
Norman 5.90.23 08.07.2006 W32/Renos.gen1
Panda 9.0.0.4 08.07.2006 Adware/SpywareQuake
Sophos 4.08.0 08.07.2006 no virus found
Symantec 8.0 08.07.2006 no virus found
TheHacker 5.9.8.187 08.07.2006 no virus found
UNA 1.83 08.04.2006 Hoax.Win32.Renos
VBA32 3.11.0 08.07.2006 Adware.Win32.Renos.dp
VirusBuster 4.3.7:9 08.07.2006 no virus found

Leider erhalte ich beim öffnen von Smitfraudfix nur diese Meldung. Was läuft da falsch ? Ich habe die Datei mít WinZip geöffnet. ich wüßte nicht welchen Schritt ich sonst noch gehen soll


SmitFraudFix v2.81

Fichier Process.exe absent !
Dezippez la totalité de l'archive dans un dossier.

Process.exe file missing !
Unzip all the archive in a folder.

Drücken Sie eine beliebige Taste . . .

- danach passiert nichts

Zitat:

Zitat von Pauliernie

Leider erhalte ich beim öffnen von Smitfraudfix nur diese Meldung. Was läuft da falsch ? Ich habe die Datei mít WinZip geöffnet. ich wüßte nicht welchen Schritt ich sonst noch gehen soll

Kann es sein das du díe Zip-Datei nur geöffnet, und nicht entpackt hast?
Du musst es entpacken, erst dann kann das Tool richtig arbeiten!

Gruß

Wenn ich die Datei die, die ich nach dem Download erhalten habe, versuche zu öffnen passiert im prinzip nichts.

Wie bei dieser Datei etwas entpackt werden soll und was ich dann erhalten soll erschließt sich mir momentan nicht. Ich habe das Programm Winzip und damit funktioniert nicht es scheinbar nicht.

Was für ein tool brauche ich den um diese Datei zu entpacken ?

Hallo,
vielleicht hattest du einen fehlerhaftenDownload, versuche es doch einfach noch einmal, eigentlich sollte sich die Datei problemlos mit Winzip entpacken lassen.



Grüße Wildone

wenn ich den Download durchführe dann mit öffnen oder Speichern und wenn ja in welches Verzeichnis oder ist das egal. Irgendwie ist das alles leider nicht schlüssig. Bin leider kein PC-Fachmann.

Hallo,
speichern>>Desktop>>dann mit Winzip entpacken und den Anweisungen folgen.


Grüße Wildone

Ich habe die datei auf den Desktop gespeichert. Doppelklick, es öffnet sich ein Winzip Fenster, dort sind mehrere Dateien vorhanden. Dann Dopelklick auf Smitfraudfix.cmd und es öffnet sich leider nur das Fenster was ich oben schon mal genannt habe.

Ich habe mir von Winzip nur eine Testversion besorgt. Liegt es vielleicht daran ?

Ich finde auch keinen Befehl oder Button mit Datei entpacken oder so. Oder ist die Datei schon entpackt. Wirklich schwierig für mich.

Ich möchte diesen Weg versuchen, da das komplette Neuaufsetzen auch für mich sehr schwierig und langwierig ist.

Danke

Hallo,
dein Problem ist das du nicht mit Winzip umgehen kannst, mache einen Rechtsklick auf die Datei, dort müßte eine Option "Winzip" oder "hier entpacken" o.ä. (ich habe kein Winzip) kommen, diese führst du aus, gibst den Pfad ein wo du sie entpacken willst (bei "hier entpacken nicht nötig) und das sollte es dann gewesen sein.

Zweite Möglichkeit wäre Winzip (glaube C:\Programme\Winzip) zu starten, dann zu der Datei zu navigieren und diese dann entpacken.



Grüße Wildone

wenn ich smitfraudnix vom Desktop anklicke öffnet automatisch Winzip.

Die Datei Smitfraudfix ist scheinbar kein ZIP-Datei, sondern nur ein Befehlskript. Ich bin nach einer internet-Anleitung für Winzip verfahren. Da öffnet oder entpackt sich hier nichts.

Das läuft hier irgendwie nicht.