Hallo liebe Community.

heute morgen, vollkommen schlaftrunken habe ich Emails abgerufen. Wieder mal eine Rechnung von 1&1. Doch hieß es in der Mail 59,00€. Da hab ich doch nicht schlecht gestaunt. Was bilden die sich ein dachte ich. Ich klickte auf den Anhang um zu sehen was mir in Rechnung gestellt wird. Einen Augenblick zu spät sehe ich das .exe hinter der Pdf. Ein Dosfenster öffnet sich, es läuft ein Programm ab, was aber scheinbar in einer Fehlermeldung endet.

Daraufhin habe ich Avast-Antivirus und adaware sturm laufen lassen. Adaware hat auch 4 Datein gelöscht.

Beide Programme finden nichts mehr. Allerdings habe ich in der Systemkonfiguration bei den Programmen die mit Windows starten 2 mal die "6to4svcd.exe"

Diese ist auch außergewöhnlich widerspänstig und lässt sich nicht wegschalten. Da sie vorher nicht da war, vermute ich, dass es sich bei diesen Datein um trojaner aus der Mail handelt.

Ich würde mein System ungern neu aufsetzen. Wie kann ich ihn entfernen?

Über Hilfe würde ich mich sehr freuen!

mit freundlichem Gruß
der Folkfan




Edit: Oh endschuldigung. Ich sehe es gibt schon ein Topic zu dem Thema. Asche über mein Haupt. Vieleicht kann man mir trotzdem helfen.

Darauf bin ich hereingefallen:
http://www.trojaner-board.de/35065-a...1-1-mails.html



Laut dem Heise ONline Artikel: heise online - 1&1 warnt Kunden vor gefälschten Rechnungen gibt es antivirenprgramme die es mit dem Trojaner aufnehmen:

Zitat:

Hinter der als Rechnungs-PDF getarnten ausführbaren Datei steckt der Trojaner Backdoor.Win32.agent.abf, der nach Tests von 1&1 erst von der Hälfte der aktuellen Virenscanner erkannt werde. Tests von heise Security ergaben ein ähnliches Ergebnis.

welche sind das?

Hallo.

Poste als erstes mal ein Hijacklog, Anleitung dazu in meiner Signatur verlinkt.

Gruß
Sunny

Hallo Sunny,


ich hoffe ich habe alles richtig gemacht, ich bin nicht mehr der jüngste.

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 17:44:59, on 07.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
D:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
D:\Programme\Trillian\trillian.exe
D:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Sceles\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fritz.box/
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {23314D99-1240-4d4f-A25C-17E44823D048} - C:\WINDOWS\System32\ipv6monl.dll
O2 - BHO: InstantGet IECatcher - {569E7719-1A11-415E-9206-AC1860FB8BFF} - C:\Programme\InstantGet\IEBar\IGCatcher.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: metaspinner GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - D:\Programme\Preispiraten3\Preispiraten3\IEButtonAmazonInterface.dll
O2 - BHO: metaspinner GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - D:\Programme\Preispiraten3\Preispiraten3\IEButtonEbayInterface.dll
O2 - BHO: metaspinner GmbH - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - D:\Programme\Preispiraten3\Preispiraten3\IEButtonPPInterface.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: InstantGet Bar - {98C92840-EB1C-40bd-B6A5-395EC9CD6510} - C:\Programme\InstantGet\IEBar\IGIEBar.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [WinUpdate] C:\WINDOWS\System32\6to4svcd.exe
O4 - HKLM\..\RunServices: [WinUpdate] C:\WINDOWS\System32\6to4svcd.exe
O4 - HKCU\..\Run: [WinUpdate] C:\WINDOWS\System32\6to4svcd.exe
O4 - HKCU\..\RunServices: [WinUpdate] C:\WINDOWS\System32\6to4svcd.exe
O8 - Extra context menu item: &Alles mit InstantGet runterladen - res://C:\Programme\InstantGet\IEBar\IGCatcher.dll/IGAll.htm
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - D:\\Programme\\Preispiraten3\\Preispiraten3\\preispiraten.html
O8 - Extra context menu item: &Search - http://speedbar.myway.com/menusearch.html?p=MG2
O8 - Extra context menu item: Acoo Search(&A) - res://C:\Programme\InstantGet\IEBar\IGIEBar.dll/SEARCH.HTM
O8 - Extra context menu item: amazon Suche - D:\Programme\Preispiraten3\Preispiraten3\Searchamazon.htm
O8 - Extra context menu item: amazon Suche starten - D:\Programme\Preispiraten3\Preispiraten3\Searchamazon.htm
O8 - Extra context menu item: eBay - Mein eBay - D:\Programme\Preispiraten3\Preispiraten3\SearchEbaymein.htm
O8 - Extra context menu item: eBay - Powersuche - D:\Programme\Preispiraten3\Preispiraten3\SearchEbaypower.htm
O8 - Extra context menu item: eBay - Startseite - D:\Programme\Preispiraten3\Preispiraten3\SearchEbay.htm
O8 - Extra context menu item: eBay Suche starten - D:\Programme\Preispiraten3\Preispiraten3\SearchEbay.htm
O8 - Extra context menu item: Google Suche - D:\Programme\Preispiraten3\Preispiraten3\SearchGoogle.htm
O8 - Extra context menu item: Google Suche starten - D:\Programme\Preispiraten3\Preispiraten3\SearchGoogle.htm
O8 - Extra context menu item: Mit InstantGet runterla&den - res://C:\Programme\InstantGet\IEBar\IGCatcher.dll/IGLink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Preispiraten 3 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - D:\Programme\Preispiraten3\Preispiraten3\preispiraten3ie.exe
O9 - Extra button: Run InstantGet - {6DDFE91C-A45C-4812-8F57-098932C9D88D} - C:\Programme\InstantGet\InstantGet.exe
O9 - Extra 'Tools' menuitem: &InstantGet - {6DDFE91C-A45C-4812-8F57-098932C9D88D} - C:\Programme\InstantGet\InstantGet.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe

Zitat:

ich hoffe ich habe alles richtig gemacht, ich bin nicht mehr der jüngste.

Dass sind die wenigsten Leute hier auf dem Board! :aplaus:
(*duckundweg*)

Arbeite mal diese Anleitung ab:


* Besuche die Update-Seite von Microsoft und bring dein System auf den neusten Stand. (SEHR WICHITG!)

* Deinstalliere über Start -> Systemsteuerung -> Software folgende Programme sowie alle die dir nicht bekannt sind:
(sofern vorhanden!)

Zitat:

MyWay
InstantGet

*

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:


2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\System32\ipv6monl.dll
C:\WINDOWS\System32\6to4svcd.exe

Folder to delete:
C:\Programme\MyWay
C:\Programme\InstantGet

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
5.) Lass HijackThis nochmal laufen, erstelle und poste ein neues HijackThis Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

Gruß
Sunny

InstantGet ist ein Downloadmanager. Muss ich den wirklich löschen?


Das mit dem Update werde ich unverzüglich machen.

Zitat:

Zitat von Folkfan

InstantGet ist ein Downloadmanager. Muss ich den wirklich löschen?

Sorry, hab das verwechselt mit einem schädlichen Programm

Dann natürlich nicht.

Lösch es auch bei der ANleitung vom Avenger, also dann so:

Zitat:

Files to delete:
C:\WINDOWS\System32\ipv6monl.dll
C:\WINDOWS\System32\6to4svcd.exe

Folder to delete:
C:\Programme\MyWay

Okay. Vielen vielen Dank! Wirklich Super was leute wie du hier "ehrenamtlich" leisten! Großen Respekt


Das Servicepack 2 kann ich mir aber auch von www.chip.de ziehen oder? Das sollte doch keinen unterschied machen und geht schneller.

Zitat:

Zitat von Folkfan

Das Servicepack 2 kann ich mir aber auch von www.chip.de ziehen oder? Das sollte doch keinen unterschied machen und geht schneller.

Eigentlich ist es eagl wo du dir die Datei runterlädst, trotzalledem würde ich dir die von Mircosoft doch sehr empfehlen..

Zitat:

Zitat von [Gc]Sunny

Eigentlich ist es eagl wo du dir die Datei runterlädst, trotzalledem würde ich dir die von Mircosoft doch sehr empfehlen..

Traue niemals deiner Schweigermutter, dem Papst oder Microsoft!

Zitat:

Zitat von Folkfan

Traue niemals deiner Schweigermutter, dem Papst oder Microsoft!

Und warum nutzt du dann überhaupt noch Windows XP??? :aplaus:

Zitat:

Zitat von Folkfan

Traue niemals deiner Schweigermutter, dem Papst oder Microsoft!

Im Gegensatz zum Wechsel der Lebensabschnittsgefährten oder des Bekenntnisses ist der Wechsel zu einem Nicht-MS-Betriebssystem trivial zu bewerkstelligen.

Gruß
Yopie

Hallo,


es gibt ein weiteres Problem. Der Trojaner ist äußerst agressiv. Er bringt den Browser zum absturz und macht ihn danach kaputt ein neustart hilft nicht, nur ein de- und reinstallieren. (Opera 9.01 und Firefox)

Deshalb ist der download der Servicepacks ein Problem. Ich habe jetzt mal deine Liste abgearbeitet ohne das Update das hole ich sofort nach wenn ich die datei komplett habe.

der Avenger hat eine Fehlermeldung ausgegeben:

Zitat:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fkobifnk

*******************

Script file located at: jcddwbgh

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!

Der HiJacker sagt:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 19:44:11, on 07.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Opera\Opera.exe
D:\Programme\Trillian\trillian.exe
C:\Dokumente und Einstellungen\Sceles\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fritz.box/
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {23314D99-1240-4d4f-A25C-17E44823D048} - C:\WINDOWS\System32\ipv6monl.dll
O2 - BHO: InstantGet IECatcher - {569E7719-1A11-415E-9206-AC1860FB8BFF} - C:\Programme\InstantGet\IEBar\IGCatcher.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: metaspinner GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - D:\Programme\Preispiraten3\Preispiraten3\IEButtonAmazonInterface.dll
O2 - BHO: metaspinner GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - D:\Programme\Preispiraten3\Preispiraten3\IEButtonEbayInterface.dll
O2 - BHO: metaspinner GmbH - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - D:\Programme\Preispiraten3\Preispiraten3\IEButtonPPInterface.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: InstantGet Bar - {98C92840-EB1C-40bd-B6A5-395EC9CD6510} - C:\Programme\InstantGet\IEBar\IGIEBar.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinUpdate] C:\WINDOWS\System32\6to4svcd.exe
O4 - HKLM\..\RunServices: [WinUpdate] C:\WINDOWS\System32\6to4svcd.exe
O4 - HKCU\..\Run: [WinUpdate] C:\WINDOWS\System32\6to4svcd.exe
O4 - HKCU\..\RunServices: [WinUpdate] C:\WINDOWS\System32\6to4svcd.exe
O8 - Extra context menu item: &Alles mit InstantGet runterladen - res://C:\Programme\InstantGet\IEBar\IGCatcher.dll/IGAll.htm
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - D:\\Programme\\Preispiraten3\\Preispiraten3\\preispiraten.html
O8 - Extra context menu item: Acoo Search(&A) - res://C:\Programme\InstantGet\IEBar\IGIEBar.dll/SEARCH.HTM
O8 - Extra context menu item: amazon Suche - D:\Programme\Preispiraten3\Preispiraten3\Searchamazon.htm
O8 - Extra context menu item: amazon Suche starten - D:\Programme\Preispiraten3\Preispiraten3\Searchamazon.htm
O8 - Extra context menu item: eBay - Mein eBay - D:\Programme\Preispiraten3\Preispiraten3\SearchEbaymein.htm
O8 - Extra context menu item: eBay - Powersuche - D:\Programme\Preispiraten3\Preispiraten3\SearchEbaypower.htm
O8 - Extra context menu item: eBay - Startseite - D:\Programme\Preispiraten3\Preispiraten3\SearchEbay.htm
O8 - Extra context menu item: eBay Suche starten - D:\Programme\Preispiraten3\Preispiraten3\SearchEbay.htm
O8 - Extra context menu item: Google Suche - D:\Programme\Preispiraten3\Preispiraten3\SearchGoogle.htm
O8 - Extra context menu item: Google Suche starten - D:\Programme\Preispiraten3\Preispiraten3\SearchGoogle.htm
O8 - Extra context menu item: Mit InstantGet runterla&den - res://C:\Programme\InstantGet\IEBar\IGCatcher.dll/IGLink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Preispiraten 3 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - D:\Programme\Preispiraten3\Preispiraten3\preispiraten3ie.exe
O9 - Extra button: Run InstantGet - {6DDFE91C-A45C-4812-8F57-098932C9D88D} - C:\Programme\InstantGet\InstantGet.exe
O9 - Extra 'Tools' menuitem: &InstantGet - {6DDFE91C-A45C-4812-8F57-098932C9D88D} - C:\Programme\InstantGet\InstantGet.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe

der myway ordner hatte tatsächlich dreck am stecken. Wollte sich über die normale Windowsfunktion nicht löschen lassen.
Ich habe ihn jetzt über den Datenschredder von TuneUp Utilities 2006 vernichten lassen.
C:\WINDOWS\System32\ipv6monl.dll konnte der schredder auch zerstören,
am C:\WINDOWS\System32\6to4svcd.exe hat er sich allerdings auch die zähne ausgebissen.




EDIT:


So, 4 Browserneuinstallationen weiter habe ich das Servicepack 2. Kann ich das nun bedenkenlos "drüberbügeln"?

Ich finde Doppelposten ja für normal blöd aber ich glaube sonst wird das Posting oben zu unübersichtlich.

ICh habe es nun noch einmal mit dem avenger probiert. Diesmal hat er gearbeitet:

Zitat:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\agahuebp

*******************

Script file located at: \??\C:\WINDOWS\nseyjvpq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\System32\ipv6monl.dll not found!
Deletion of file C:\WINDOWS\System32\ipv6monl.dll failed!

Could not process line:
C:\WINDOWS\System32\ipv6monl.dll
Status: 0xc0000034

File C:\WINDOWS\System32\6to4svcd.exe deleted successfully.


File Folder to delete: not found!
Deletion of file Folder to delete: failed!

Could not process line:
Folder to delete:
Status: 0xc0000034



File C:\Programme\MyWay not found!
Deletion of file C:\Programme\MyWay failed!

Could not process line:
C:\Programme\MyWay
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Hi Jack This:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 20:33:35, on 07.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Sceles\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fritz.box/
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {23314D99-1240-4d4f-A25C-17E44823D048} - C:\WINDOWS\System32\ipv6monl.dll (file missing)
O2 - BHO: InstantGet IECatcher - {569E7719-1A11-415E-9206-AC1860FB8BFF} - C:\Programme\InstantGet\IEBar\IGCatcher.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: metaspinner GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - D:\Programme\Preispiraten3\Preispiraten3\IEButtonAmazonInterface.dll
O2 - BHO: metaspinner GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - D:\Programme\Preispiraten3\Preispiraten3\IEButtonEbayInterface.dll
O2 - BHO: metaspinner GmbH - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - D:\Programme\Preispiraten3\Preispiraten3\IEButtonPPInterface.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: InstantGet Bar - {98C92840-EB1C-40bd-B6A5-395EC9CD6510} - C:\Programme\InstantGet\IEBar\IGIEBar.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinUpdate] C:\WINDOWS\System32\6to4svcd.exe
O4 - HKLM\..\RunServices: [WinUpdate] C:\WINDOWS\System32\6to4svcd.exe
O4 - HKCU\..\Run: [WinUpdate] C:\WINDOWS\System32\6to4svcd.exe
O4 - HKCU\..\RunServices: [WinUpdate] C:\WINDOWS\System32\6to4svcd.exe
O8 - Extra context menu item: &Alles mit InstantGet runterladen - res://C:\Programme\InstantGet\IEBar\IGCatcher.dll/IGAll.htm
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - D:\\Programme\\Preispiraten3\\Preispiraten3\\preispiraten.html
O8 - Extra context menu item: Acoo Search(&A) - res://C:\Programme\InstantGet\IEBar\IGIEBar.dll/SEARCH.HTM
O8 - Extra context menu item: amazon Suche - D:\Programme\Preispiraten3\Preispiraten3\Searchamazon.htm
O8 - Extra context menu item: amazon Suche starten - D:\Programme\Preispiraten3\Preispiraten3\Searchamazon.htm
O8 - Extra context menu item: eBay - Mein eBay - D:\Programme\Preispiraten3\Preispiraten3\SearchEbaymein.htm
O8 - Extra context menu item: eBay - Powersuche - D:\Programme\Preispiraten3\Preispiraten3\SearchEbaypower.htm
O8 - Extra context menu item: eBay - Startseite - D:\Programme\Preispiraten3\Preispiraten3\SearchEbay.htm
O8 - Extra context menu item: eBay Suche starten - D:\Programme\Preispiraten3\Preispiraten3\SearchEbay.htm
O8 - Extra context menu item: Google Suche - D:\Programme\Preispiraten3\Preispiraten3\SearchGoogle.htm
O8 - Extra context menu item: Google Suche starten - D:\Programme\Preispiraten3\Preispiraten3\SearchGoogle.htm
O8 - Extra context menu item: Mit InstantGet runterla&den - res://C:\Programme\InstantGet\IEBar\IGCatcher.dll/IGLink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Preispiraten 3 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - D:\Programme\Preispiraten3\Preispiraten3\preispiraten3ie.exe
O9 - Extra button: Run InstantGet - {6DDFE91C-A45C-4812-8F57-098932C9D88D} - C:\Programme\InstantGet\InstantGet.exe
O9 - Extra 'Tools' menuitem: &InstantGet - {6DDFE91C-A45C-4812-8F57-098932C9D88D} - C:\Programme\InstantGet\InstantGet.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe

[edit] Jetzt ist auch der Eintrag aus der MsConfig weg!


Vielen Dank für die Hilfe! Großartiges Forum! Danke Sunny! Servicepack 2 wird sofort nachgepatcht.

Ist das letzte File oben sauber?

Zitat:

C:\WINDOWS\System32\ipv6monl.dll (file missing)

und

Zitat:

C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL (file missing)

Stehen doch immernoch drin.


Bemerkbar hat sich nichts mehr gemacht!

Zitat:

Zitat von Folkfan

Ist das letzte File oben sauber?
und
Stehen doch immernoch drin.

Und dat hier auch:

O4 - HKLM\..\Run: [WinUpdate] C:\WINDOWS\System32\6to4svcd.exe
O4 - HKLM\..\RunServices: [WinUpdate] C:\WINDOWS\System32\6to4svcd.exe
O4 - HKCU\..\Run: [WinUpdate] C:\WINDOWS\System32\6to4svcd.exe
O4 - HKCU\..\RunServices: [WinUpdate] C:\WINDOWS\System32\6to4svcd.exe

Zitat:

Bemerkbar hat sich nichts mehr gemacht!

Schau Dir mal bitte meine Signatur an.

Sollte die Datei C:\WINDOWS\System32\6to4svcd.exe noch vorhanden sein (ist wohl so, oder?), lösche sie über die wiederherstellungskonsole.