Hallo!
Ich habe heute AntiVir 7 Classic über mein XP SP2 laufen lassen. Es wurde der Trojaner Click.Small.JA.2. in C:\WINDOWS\system32\st.dll gefunden sowie zwei Javaviren. Alle habe ich in Quarantäne geschickt. Nun habe ich folgende Bitte: kann mir jemand sagen, ob sich noch mehr auf meinem System verändert hat und ob die Quarantäne überhaupt etwas bringt? Ich würde natürlich sehr ungern alles neu installieren, da ich sehr viele Dateien und Programme auf dem Laptop habe und ihn ganz dringend für die Uni brauche. Hier poste ich nun mein HijackThis Log. Ich wäre wirklich sehr dankbar um Hilfe!

Logfile of HijackThis v1.99.1
Scan saved at 12:44:17, on 26.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\0190_U~1\w0svc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Wistron\AVManager\AVManager.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\temp\NewDevicesGuard.EXE
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\PROGRA~1\0190_U~1\WARN0190.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\FRITZ!DSL\StCenter.exe
c:\programme\gemeinsame dateien\aol\1143549032\ee\services\antiSpywareApp\ver2_0_13\AOLSP Scheduler.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gemeinsame Dateien\AOL\1143549032\ee\aolsoftware.exe
c:\programme\gemeinsame dateien\aol\1143549032\ee\aolsoftware.exe
C:\Programme\AOL 9.5\waol.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AOL 9.5\shellmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\UseNeXT\UseNeXT.exe
C:\Programme\Gemeinsame Dateien\AOL\Topspeed\3.0\aoltpsd3.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {C2EEB4FA-B6D6-41b9-9CFA-ABA87F862BCB} - (no file)
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [AVManager] "C:\Programme\Wistron\AVManager\AVManager.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [BT] C:\WINDOWS\temp\NewDevicesGuard.EXE
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1143549032\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [0190/0900 Warner präsentiert von AOL] C:\PROGRA~1\0190_U~1\WARN0190.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.5\AOL.EXE" -b
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Search - h**p://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxdm119YYDE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: MedionShop - {E18B757F-2F92-410D-8CBC-405F07B0606A} - h**p://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - h**p://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6218F7B5-0D3A-48BA-AE4C-49DCFA63D400} (CSEQueryObject Object) - h**p://www.myheritage.com/Genoogle/Components/ActiveX/SearchEngineQuery.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104261081168
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {ABC1D8DE-CAB5-4FB7-BCD0-137BAB9F09DC} (aldisued-fotos-druck_de_bilduebertragung) - h**p://www.aldisued-fotos-druck.de/upload/aldi_sued_bilduebertragung.cab
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190_U~1\w0svc.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

[edit]
links editiert
GUA
[/edit]

@ nicks FIX!

Lade dir Clearprog und nimm eine Bereinigung deiner Daten vor. Starte das programm und aktiviere das Kästchen "alles löschen" und danach auf löschen klicken.

Danach wechsle in den abgesicherten Modus und fixe folgende Einträge mit hijackthis.

O8 - Extra context menu item: &Search -http://edits.mywebsearch.com/toolbar...p=ZNxdm119YYDE
O9 - Extra button: MedionShop - {E18B757F-2F92-410D-8CBC-405F07B0606A} - h**p://www.medionshop.de/ (file missing) (HKCU)
016 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - h**p://ak.exe.imgfarm.com/images/noc...up1.0.0.15.exe
O16 - DPF: {ABC1D8DE-CAB5-4FB7-BCD0-137BAB9F09DC} (aldisued-fotos-druck_de_bilduebertragung) - h**p://www.aldisued-fotos-druck.de/u...bertragung.cab
O8 - Extra context menu item: &Search - h**p://edits.mywebsearch.com/toolbar...p=ZNxdm119YYDE
O4 - HKLM\..\Run: [BT] C:\WINDOWS\temp\NewDevicesGuard.EXE
O2 - BHO: (no name) - {C2EEB4FA-B6D6-41b9-9CFA-ABA87F862BCB} - (no file)

Lösche danach im Ordner C:\WINDOWS\temp\NewDevicesGuard.EXE
C:\WINDOWS\system32\st.dll

Lösche den Ordner C:\Programme\MyWebSearch\

Falls manchen Dateien nicht angezeigt werden gehe folgender Maßen vor:

Klicke auf Extras, dann auf Ordneroptionen, Ansicht
Entferne den Haken bei "geschützte systemdateien ausblenden"
Setze einen Haken bei "Inhalte von systemordnern anzeigen"
und "alle Dateien und Ordner anzeigen"

Poste ein neues HJT Logfile!

hey danke THE SAINT. Bin ganz arg froh über die schnelle Antwort! Ich mach das jetzt alles so und poste dann das neue HJT.
Vielen Dank nochmal, hoffe ich krieg das alles so hin.

Zitat:

Zitat von nicks FIX

Ich mach das jetzt alles so und poste dann das neue HJT...

bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/showpost.php?p=171957&postcount=1

danke
GUA

Hallo,

also, ich habe gestern mit ClearProg gelöscht was ging. Wollte dann die oben genannten Einträge im abges.Modus löschen. Allerdings lässt sich NewDevicesGuard.exe nicht löschen, da es "benutzt" wird oder schreibgeschützt sei. Weiter erkennne ich unter Eigenschaften des Ordners ein "unbekanntes Konto" In system32 finde ich keine Datei mehr die st.dll heißt nur eine die sti.dll heißt. Ich habe allerdings auch nur den übergeordneten Ordner gefunden: dllcache, denn unter system32 direkt gab es keine sti.dll. Ich hatte alle Dateien sichtbar gemacht.
Wie soll ich nun weiter verfahren? Und noch eine Frage: was ist die folgende für eine Datei: WINDOWS\system32\dllcache\agentsvr.exe ?

Ich danke nochmal recht herzlich auch im Vorab- langsam mach ich mir echt Gedanken....

Sorry, hier das neue Log:

Logfile of HijackThis v1.99.1
Scan saved at 10:42:06, on 27.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\0190_U~1\w0svc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\wanmpsvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Wistron\AVManager\AVManager.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\AOL\1143549032\ee\AOLSoftware.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\0190_U~1\WARN0190.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\AOL 9.5\waol.exe
C:\Programme\FRITZ!DSL\StCenter.exe
c:\programme\gemeinsame dateien\aol\1143549032\ee\services\antiSpywareApp\ver2_0_13\AOLSP Scheduler.exe
c:\programme\gemeinsame dateien\aol\1143549032\ee\aolsoftware.exe
c:\programme\gemeinsame dateien\aol\1143549032\ee\aexplore.exe
C:\Programme\AOL 9.5\shellmon.exe
C:\Programme\Gemeinsame Dateien\AOL\Topspeed\3.0\aoltpsd3.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.***.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www. *** .com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [AVManager] "C:\Programme\Wistron\AVManager\AVManager.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1143549032\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [0190/0900 Warner präsentiert von AOL] C:\PROGRA~1\0190_U~1\WARN0190.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.5\AOL.EXE" -b
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://www. ***.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.***soft .com/fwlink/?LinkID=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.sy*** .com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bit**** .de/scan8/oscan8.cab
O16 - DPF: {6218F7B5-0D3A-48BA-AE4C-49DCFA63D400} (CSEQueryObject Object) - http://www.***.com/Genoogle/Components/ActiveX/ SearchEngineQuery.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104261081168
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.***.com/sscv6/SharedContent/common/bin/ cabsa.cab
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190_U~1\w0svc.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


PS: Hab nix mehr von Symantec laufen, kann ich diese Einträge löschen?

Zitat:

Zitat von nicks FIX

Hallo,

also, ich habe gestern mit ClearProg gelöscht was ging. Wollte dann die oben genannten Einträge im abges.Modus löschen. Allerdings lässt sich NewDevicesGuard.exe nicht löschen, da es "benutzt" wird oder schreibgeschützt sei.

Also lade dir Killbox herunter verfahre wie in der Bebildeten Anleitung und lösche die NewDevicesGuard.exe.

Zitat:

Ich habe allerdings auch nur den übergeordneten Ordner gefunden: dllcache, denn unter system32 direkt gab es keine sti.dll.

Du meinst wohl st.dll diese lösche bitte im Ordner System32.
Wenn noch vorhanden!!

Zitat:

Wie soll ich nun weiter verfahren? Und noch eine Frage: was ist die folgende für eine Datei: WINDOWS\system32\dllcache\agentsvr.exe ?

Diese Datei ist OK gehört zu Microsaft!

Mache noch folgendes lade dir eScan
installiere dieses Programm laut Anleitung und scanne dein System.

Poste uns dann das logfile!

guten Abend!

also, hab alles befolgt. Escan hat 2 Std. gescannt und einíges gefunden! Ich bitte um erneute Hilfe und um Rat und hoffe, dass das alles bald erledigt ist! Macht mich ganz unsicher die ganze Geschichte und nimmt mir schon beinah den Gefallen am Internet.... Sollte ich mir vielleicht ne andre Firewall zulegen?
und ganz wichtig: soll ich meine Passwörter ändern? Wahrscheinlich schon...
Hier poste ich nun mein e scan logfile:

Mist, wie poste ich das Logfile- ist ja riesig.... Bin kein Spezialist-sorry...

Zitat:

Zitat von nicks FIX

Mist, wie poste ich das Logfile

In dem du ir nochmals die Anleitung zum Escan Durchließt und vorallem den Punkt 5 dieser Anleitung!
Dann klappt das auch!



Gruß Mellosun

hello again! also ich kann beim besten Willen keine Datei namens 'C:\Bases_X'
finden. Bei mir wurde das Logfile im Text editor gespeichert unter dem bekannten Namen MWAV.log. Ich finde auch keine einzelnen Auszüge, die ich hier rein kopieren könnte, außer wieviel Verdächtiges gefunden wurde. Alles andere ist zu groß.
ed Sep 27 20:29:41 2006 => Total Objects Scanned: 88489
Wed Sep 27 20:29:41 2006 => Total Critical Objects: 15
Wed Sep 27 20:29:41 2006 => Total Disinfected Objects: 0
Wed Sep 27 20:29:41 2006 => Total Objects Renamed: 0
Wed Sep 27 20:29:41 2006 => Total Deleted Objects: 0
Wed Sep 27 20:29:41 2006 => Total Errors: 103
Wed Sep 27 20:29:41 2006 => Time Elapsed: 02:04:04
Wed Sep 27 20:29:41 2006 => Virus Database Date: 9/27/2006
Wed Sep 27 20:29:41 2006 => Virus Database Count: 226651

Was sind denn diese ERRORS für Fehler? Und jetzt noch eine Frage: weiß jemand, was das genau für ein Trojaner war? Sollte ich wegen Banking und so etwas tun? Hab versucht etwas heraus zu finden, war aber nix.
ALSO: Muss ich den Scan nochmal machen? Ich bekomm ihn einfach nicht hier rein! Bin wohl zu blöd....

Wenn du alles genau nach der Anleitung gemacht hast, solltest du mit Hilfe der find.zip den Raport bekommen. Wahrscheinlich hast du aber eScan net in dem Ordner entpackt, welcher vorgegeben war/ist!

Nämlich C:\Bases_X

Die Sprache wirst du wahrscheinlich auch net auf Englisch eingestellt haben....also...mache es genau so, wie in der Anleitung beschrieben.......dann klappt das auch! Wahrscheinlich musst den Scann nochmal machen....dauert doch nur zwei Stunden!


Gruß Mellosun

hast du dir die find.bat heruntergeladen?

Hier eine schon etwas ältere Anleitung von mir du benötigst aber die find.bat (find.zip) da der link in der Anleitung nicht mehr funktioniert.

Hallo! Hab jetzt nochmal gescannt. Hatte es übrigens wohl auf Englisch installiert!
Ich hoffe dass das folgende Logfile das richtige ist!

[msvclnt.dll] [0x00000ab0] 29/09/2006 12:20:03:096 :WARNING!!! MS_InitializeIPCLayerClientX return MWIPCC_ERROR_SERVERDOWN
[msvclnt.dll] [0x00000ab0] 29/09/2006 12:20:03:106 :WARNING!!! "Autokey" Not Found
[msvclnt.dll] [0x00000ab0] 29/09/2006 12:20:03:106 :Server Down.... Doing Local Scan Now...
[msvclnt.dll] [0x00000ab0] 29/09/2006 12:20:04:458 atabase Path = C:\Bases_X\eScan
[msvclnt.dll] [0x00000ab0] 29/09/2006 12:20:04:458 :VirusCount = 219091 Latest Date = 2006/09/29
[msvLclnt.dll] [0x00000424] 29/09/2006 12:42:43:989 :ModuleName = C:\Bases_X\eScan\MWAVSCAN.EXE
[msvLclnt.dll] [0x00000424] 29/09/2006 12:42:43:989 :Registry Key Deleted Properly!!!
[msvLclnt.dll] [0x00000424] 29/09/2006 12:42:47:495 :Options Set by External applications MWAVSCAN.EXE are 9896960 (0x970400):
[msvLclnt.dll] [0x00000424] 29/09/2006 12:42:47:495 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[msvLclnt.dll] [0x00000424] 29/09/2006 12:42:47:495 :TimeOut : ffffffff
[msvLclnt.dll] [0x00000424] 29/09/2006 12:42:47:495 :Priority : NORMAL
[msvLclnt.dll] [0x00000424] 29/09/2006 12:42:48:125 :VirusCount = 227289 Latest Date = 2006/09/29
[msvLclnt.dll] [0x0000047c] 29/09/2006 12:54:56:813 :[00000001] File C:\Dokumente und Einstellungen\***\Eigene Dateien\FUN\Power Point Präs\b0174.exe infected by not-a-virus:AdWare.Win32.MyWebSearch.ak
[msvLclnt.dll] [0x0000047c] 29/09/2006 12:54:57:444 :[00000001] File C:\Dokumente und Einstellungen\***\Eigene Dateien\FUN\Power Point Präs\b0174.exe infected by not-a-virus:AdWare.Win32.MyWebSearch.ak
[msvLclnt.dll] [0x0000047c] 29/09/2006 13:13:07:662 :[00000001] File C:\Programme\DAEMON Tools\SetupDTSB.exe infected by not-a-virus:AdTool.Win32.WhenU.a
[msvLclnt.dll] [0x0000047c] 29/09/2006 14:23:34:500 :[00000001] File C:\WINDOWS\system32\unst.exe infected by Trojan-Clicker.Win32.Small.iz
[msvLclnt.dll] [0x0000047c] 29/09/2006 14:23:34:590 :[00000001] File C:\WINDOWS\system32\unst.exe infected by Trojan-Clicker.Win32.Small.iz
[msvLclnt.dll] [0x0000047c] 29/09/2006 14:46:04:070 :VirusCount = 227289 Latest Date = 2006/09/29
[msvLclnt.dll] [0x00000424] 29/09/2006 14:54:13:875 :VirusCount = 227289 Latest Date = 2006/09/29
[msvclnt.dll] [0x000008bc] 29/09/2006 14:57:42:409 :WARNING!!! MS_InitializeIPCLayerClientX return MWIPCC_ERROR_SERVERDOWN
[msvclnt.dll] [0x000008bc] 29/09/2006 14:57:42:489 :WARNING!!! "Autokey" Not Found
[msvclnt.dll] [0x000008bc] 29/09/2006 14:57:43:441 :Server Down.... Doing Local Scan Now...
[msvclnt.dll] [0x000008bc] 29/09/2006 14:57:46:285 atabase Path = C:\Bases_X\eScan
[msvclnt.dll] [0x000008bc] 29/09/2006 14:57:46:305 :VirusCount = 219091 Latest Date = 2006/09/29


Eine Frage: was bedeutet "Autokey not found"? Und noch eine Frage: Ist mein System wieder sicher oder was könnt ihr mir empfehlen???
Danke für alles Bisherige, hat mir echt super geholfen!

Da Keylogger gefunden wurden, muss ich wohl meine Passwörter ändern, stimmts? Nochmal die Frage: WAS IST MIT BANKING? Kann das gefährlich gewesen sein? Grüße