Hi,

cih werd mal einfach meinen HJT log posten in der hoffnung dass hier jmd ganz genau weiss wie ich die wieder los werd?




Logfile of HijackThis v1.99.1
Scan saved at 10:01:17, on 12.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
C:\Programme\Steam\Steam.exe
C:\DOKUME~1\wodKa\EIGENE~1\RACLE~1\userinit.exe
C:\WINDOWS\system32\??sks\r?gsvr32.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\wodKa\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4396A234-10F4-1977-F640-6CE33998A9CF} - C:\WINDOWS\system32\hbn.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: (no name) - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
O4 - HKLM\..\Run: [SRFirstRun] rundll32 srclient.dll,CreateFirstRunRp
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [Stru] "C:\DOKUME~1\wodKa\EIGENE~1\RACLE~1\userinit.exe" -vt yazb
O4 - HKCU\..\Run: [Nssb] C:\WINDOWS\system32\??sks\r?gsvr32.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Client IP-IPX - Unknown owner - ".exe (file missing)
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Hallo.
Ich schieße mal aus der Hüfte und tippe hier

Zitat:

Zitat von wodKa

O23 - Service: Client IP-IPX - Unknown owner - ".exe (file missing)

auf Backdoor-Befall.

Aber erzähl du doch erst mal, was du damit

Zitat:

cih werd mal einfach meinen HJT log posten in der hoffnung dass hier jmd ganz genau weiss wie ich die wieder los werd?

meinst, was du loswerden möchtest, wieso du auf Schädlings-Befall kommst, was nicht in Ordnung ist, was möglicherweise schon durch welche AV-Programme gefunden wurde - kurz: halte dich bitte an die NUB.

Zitat:

5. Beschreibe Dein Problem genau und nenne alle erforderlichen Details. Dazu gehören Dein Betriebssystem, wortgetreue Wiedergaben von Fehlermeldungen, und Pfadangaben bei Schädlingsbefall. Fehlen diese Angaben, kann Dir niemand helfen.

oja sry war ein bisschen voreilig

also betribssystem is windows xp pro
version 2002 sp2

antivir:

...\eigene dateien\oracle\userinit.exe
ist das trojanische pferd TR/Dldr.PurityScan.EE

c:\programme\gemeinsame dateien\{68F3FCD5-07D2-1031-0803-040411050031}\update.exe
ist das trojanische pferd TR/Dldr.Agent.14336.1

c:\dokumente und einstellungen\wodka\lokale einstellungen\temp\!update.exe
ist das trojanische pferd TR/Dldr.PurityScan.EE

c:\dokumente und einstellungen\wodka\lokale einstellungen\temporary internet files\content.ie5\Q01B3V5O\122[1].net
enthält signatur des droppers DR/Softomate.U.65

c:\dokumente und einstellungen\wodka\lokale einstellungen\temporary internet files\content.ie5\XP80JKC4\131[1].net
enthält die signatur des droppers DR/DollarRevenu.B.2

c:\programme\free ftp manager\mc-110-12-0002397.exe
ist das trojanische pferd TR/Dldr.Agent.bdr.141

c:\programme\free ftp manager\ysbinstall_1002748.exe
ist das trojanische pferd TR/Dldr.IstBar.4096.8

(haha der hat sowieso nich funktioniert :> )

c:\programme\gemeinsame dateien\yazzle1739OinAdmin.exe
enthält verdächtigen code: HEUR/Malware

c:\programme\gemeinsame dateien\{68F3FCD5-07D2-1031-0803-040411050031}\system.dll
ist das trojanische pferd TR/Dldr.Agent.6656.2


oder direkt zum sperrmüll gehen? :x

Zitat:

Zitat von wodKa

(haha der hat sowieso nich funktioniert :> )

Nein? Deine versammelten Downloader und Dropper haben aber offenbar ganze Arbeit geleistet, wie man hier sieht (ohne Anspruch auf Vollständigkeit):

Zitat:

C:\DOKUME~1\wodKa\EIGENE~1\RACLE~1\userinit.exe
C:\WINDOWS\system32\??sks\r?gsvr32.exe
O2 - BHO: (no name) - {4396A234-10F4-1977-F640-6CE33998A9CF} - C:\WINDOWS\system32\hbn.dll
O4 - HKCU\..\Run: [Stru] "C:\DOKUME~1\wodKa\EIGENE~1\RACLE~1\userinit.e xe" -vt yazb
O4 - HKCU\..\Run: [Nssb] C:\WINDOWS\system32\??sks\r?gsvr32.exe
O23 - Service: Client IP-IPX - Unknown owner - ".exe (file missing)

Zitat:

oder direkt zum sperrmüll gehen? :x

Wäre meines Erachtens eine Überlegung wert. Aber dann mach es bitte richtig.

Ich würde allerdings zunächst eine Überprüfung mit eScan durchführen, einfach um zu wissen, was genau auf deinem Rechner los ist. Eine Anleitung dazu (die du bitte genau beachtest) gibt es hier in den FAQ.

hm danke,

dann werd ich das demnächst mal machen

Zitat:

Zitat von wodKa

dann werd ich das demnächst mal machen

Demnächst?

Du hast gefragt,

Zitat:

in der hoffnung dass hier jmd ganz genau weiss wie ich die wieder los werd?

und dachtest wohl, man sagt dir "Lösche hier, fixe da" und - hokuspokus - ist dein "Virus" weg. So einfach geht es meistens aber nicht.

Also meine Bitte: Schieb das nicht auf die lange Bank, surfe nicht mit einem evtl. kompromittierten Rechner in der Gegend herum. Denn damit bist du eine Gefahr nicht nur für dich selbst (Passwörter z. B.), sondern auch für andere.

es hätte ja sein können ich wusste ja nich dass du mir gleich an die gurgel willst? :>


als ich das letze mal nen trojaner drauf hatte gabs daztu ein einfaches tutorial mit 2lösche dies, fixe das" um den wieder loszuwerden.. von daher.. ja... hab ich gehofft :P