Hallo Leute,

ich hab mir aus Dummheit ein paar Trojaner eingefangen und hoffe ihr könnt mir helfen an einer Neuinstallation vorbei zu kommen.

Ad-Aware, Spybot - Search & Destroy, ewido Anti-Spyware und Look2Me-Destroyer hab ich schon durchgeführt.

Look2Me ist immer noch aktiv

Hier mal meine HJT-Log:

Logfile of HijackThis v1.99.1
Scan saved at 00:46:05, on 16.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Winamp\winampa.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\kybrdff_e4.exe
D:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
D:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\MsPMSPSv.exe
D:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Mozilla Firefox\firefox.exe
D:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com...age/index.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O3 - Toolbar: Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Ad-watch] "C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [tiger] C:\DOKUME~1\Chris\LOKALE~1\Temp\tiger.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e4.exe
O4 - HKLM\..\Run: [!ewido] "D:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [Wuupdate] C:\WINDOWS\system32\smmss.exe
O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\expIorer.exe
O4 - HKLM\..\Run: [SemanticInsight] C:\Programme\RXToolBar\Semantic Insight\SemanticInsight.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [TelWell] C:\Programme\TelWell\TelWell.exe starttray
O4 - Startup: RollerCoaster Tycoon 3 Registration.lnk = C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Temp\{6493775B-B0D2-4058-88EF-1561A898BBE2}\{907B4640-266B-4A21-92FB-CD1A86CD0F63}\ATR1.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{47A9E83D-5DF0-456E-B50F-F716F4349577}: NameServer = 192.168.178.1,192.168.178.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{672FD85A-57AC-46C0-AF12-F3CA5F5B14E6}: NameServer = 192.168.178.1,192.168.178.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{98495212-BAF6-4D32-9AEC-8B56ABFD5830}: NameServer = 213.191.74.18,213.191.74.19
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - D:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: hpdj - Unknown owner - C:\DOKUME~1\Chris\LOKALE~1\Temp\hpdj.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


Hier hänge ich noch den Bericht von ewido Anti-Spyware dran:

---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 01:28:33 16.09.2006

+ Scan-Ergebnis:



[1420] C:\Programme\Deskbar\deskbar.dll -> Adware.Softomate : Fehler während der Säuberung.
[3196] c:\dfndrff_e4.exe -> Downloader.Adload.fk : Gesäubert.


::Berichtende

Die Datei deskbar.dll läßt sich auch finden mit der Windows-Suchmaschine.


Ich danke schon mal im vorraus, aber kann erst ab Montag oder Dienstag wieder reinschauen. Also Ihr könnt Euch ein bischen Zeit lassen beim auswerten.

Ach ja und bitte nicht zu sehr fachsimpeln... ich bin ziemlich schlecht was Registry oder sowas angeht

Da

Zitat:

O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\expIorer.exe

(großes i kein kleines L) hast du dir wohl einen Backdoor eingefangen.
Lass ihn aber vielleicht vorher mal hier auswerten.

Einfach oben ibei Browse die Datei hochladen und auf die Auswertung warten.

Sollte es der erwartete Backdoor sein wirst du dich wohl damit auseinander setzen müssen.
lg kathrin

Moin Kathrin....


Ich kann die Datei nicht uploaden weil ich sie nicht finde, trotz diversen Einstellungen an den Ordneroptionen.

Ich habe mir anscheinend gleich ein paar Trojaner und Adwares eingefangen.

Ich glaub ich werde die bittere Pille schlucken müssen. Wird es wohl reichen *nur* die Windows-Partition zu formatieren? Oder *sollte* ich auf Nr. Sicher gehen und Alles plätten?

Morgen,

im Grunde reicht es, die XP Partition Platt zu machen.

Mache aber mal bitte nen eScann, bevor du dies tust!
Bin nämlich nicht ganz der Meinung von myrtille, da die Schreibweise etwas abweicht.

Anleitung eScan .

Genau Lesen, vorallem Punkt 5 mit der find.zip. Poste das Ergebnis mit hilfe dieser.

Zu der Datei von Kathrin:

Du hast wirklich sämtliche Optionen angewendet, um die Datei zu finden?
Folge dem Link in meiner SIG....vielleicht hast du was vergessen!

Du kannst auch mal versuchen, einfach den Pfad der Datei in das Durchsuchenfenster zu kopiren und dann auf Send klicken!

Gruß Mellosun

Was für einen Unterschied meinst du denn? *neugierig*

Zitat:

Zitat von Mellosun

Zu der Datei von Kathrin:

Du hast wirklich sämtliche Optionen angewendet, um die Datei zu finden?
Folge dem Link in meiner SIG....vielleicht hast du was vergessen!

Du kannst auch mal versuchen, einfach den Pfad der Datei in das Durchsuchenfenster zu kopiren und dann auf Send klicken!

Gruß Mellosun

Das hab ich... weil ich mir sleber nicht sicher war ob ich Alles berücksichtigt hab. Aber mit der Windows-Suchfunktion finde ich es nicht und auch wenn ich im angegebenen Ordner suche.

das mit dem Scan mache ich noch und poste es dann hier.

Danke schon mal für Eure Hilfe.