Hallo liebe Leute!

Hab grad irgendeinen Virus ausgefasst, daher im Anschluß meine HJT Log-Files. Bin nicht gerade computerbewandert und hoffe jemand kann mir sagen, was ich löschen darf/soll.

Symptome:

Meine voreingestellte Internetstartseite wird automatisch durch die Seite "h*tp://securityiepage.com/" ersetzt

Es erscheinen permanent popups wie "System performance monitor:Warning", "System alert" usw.

Vielen Dank!

Logfile of HijackThis v1.99.1
Scan saved at 18:18:52, on 24.5.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Video ActiveX Access\iesmn.exe
C:\Programme\Video ActiveX Access\imsmain.exe
C:\Programme\Video ActiveX Access\iesmin.exe
C:\Programme\Video ActiveX Access\imsmn.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\mobile PhoneTools\CapFax.EXE
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\EzSystem\EZButton.exe
C:\Programme\Ez Mail V1.03\EzMail.exe
C:\Programme\Video ActiveX Access\iesmin.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Video ActiveX Access\iesmin.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: (no name) - {740FB5D9-1B51-4133-9478-1192F28AEFA3} - C:\WINDOWS\system32\poxrprof.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: (no name) - {B8C5186E-EC37-4889-9C2E-F73649FFB7BB} - C:\Programme\Video ActiveX Access\iesplg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: Protection Bar - {31615D5C-5126-448A-818A-A7CDFEE85A9B} - C:\Programme\Video ActiveX Access\iesbpl.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CapFax] C:\Programme\mobile PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [Fast Home] C:\WINDOWS\system32\svcnvt.exe home
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdS0_0_0
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Startup: Ez Button.lnk = C:\Programme\EzSystem\EZButton.exe
O4 - Startup: Ez Mail.lnk = C:\Programme\Ez Mail V1.03\EzMail.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h#tp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136548014560
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Hallo,
eigentlich ist klar was passiert ist...
Aber wir gehen auf Nummer sicher...
Hier :

Online Malware scan

lädst du nacheinander folgende Dateien hoch und postest das komplette Ergebniss.

Zitat:

C:\Programme\Video ActiveX Access\iesmn.exe
C:\Programme\Video ActiveX Access\imsmain.exe
C:\Programme\Video ActiveX Access\iesmin.exe
C:\Programme\Video ActiveX Access\imsmn.exe

Zitat:

C:\Programme\Video ActiveX Access\iesmin.exe
C:\Programme\Video ActiveX Access\iesmin.exe

Irrlicht

Es reicht übrigens, wenn du die :

Zitat:

C:\Programme\Video ActiveX Access\iesmn.exe

einmal auswerten lässt. Das Ergebnis wird nicht besser, wenn man die Datei 4mal auswerten lässt.
Irrlicht ist grad etwas übereifrig.

Danke Irrlicht für die rasche Antwort. Ich glaub ich hab das richtig gemacht, aber warum muss man die gleiche Datei öfters überprüfen? Und was ist deiner Meinung nach passiert?



Datei: iesmn.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -

A-Squared Keine Viren gefunden
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web STPAGE.Trojan gefunden (mögliche Variante)
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Zlob.btq gefunden
NOD32 Win32/TrojanDownloader.Zlob.AWS gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden


Datei: imsmain.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -

A-Squared Keine Viren gefunden
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Win32:Zlob-UR gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Zlob.btq gefunden
NOD32 Win32/TrojanDownloader.Zlob.AWS gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden


Datei: iesmin.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: PE_PATCH.UPX, UPX

A-Squared Keine Viren gefunden
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Win32:Zlob-WL gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Zlob.btq gefunden
NOD32 Win32/TrojanDownloader.Zlob.AWS gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden


Datei: imsmn.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: Bitte warten...

A-Squared Keine Viren gefunden
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Zlob.btq gefunden
NOD32 Win32/TrojanDownloader.Zlob.AWS gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden


Datei: iesmin.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: PE_PATCH.UPX, UPX

A-Squared Keine Viren gefunden
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Win32:Zlob-WL gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Zlob.btq gefunden
NOD32 Win32/TrojanDownloader.Zlob.AWS gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden


Datei: iesmin.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: PE_PATCH.UPX, UPX

A-Squared Keine Viren gefunden
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Win32:Zlob-WL gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Zlob.btq gefunden
NOD32 Win32/TrojanDownloader.Zlob.AWS gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

Danke Myrtille, schon zu spät! Aber selbst mir als Unwissenden ist das etwas überflüssig vorgekommen..

Keine großen Überraschungen bei der Auswertung.

Für Zlob gibt es hier ne Anleitung

Stelle nach dem abarbeiten nochmal nen HJT-Log hier rein, wahrscheinlich muss man noch ein wenig nachhelfen.

lg myrtille (ich bin dann auch weg. Antwort also wahrscheinlich erst wieder morgen)

Hello again!

Hab alles gemacht wie ihr es erklärt habt und das Meiste ist weg. Es kommt allerdings noch immer eines der Popups. Hab also den Kaspersky laufen lassen, der auch einiges gefunden hat. Ergebnis im Anschluss - zusätzlich ein neues HTL. Bitte um neuerliche Auskunft - Danke!


Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard
Archive untersuchen ja
Mail-Datenbanken untersuchen ja

Untersuchungsobjekt Arbeitsplatz
C:\
D:\

Untersuchungsergebnisse
Untersuchte Objekte insgesamt 69116
Viren gefunden 4
Infizierte Objekte gefunden 20 / 0
Verdächtige Objekte gefunden 0
Untersuchungszeit 01:28:24

Name des infizierten Objekts Virusname Letzte Aktion
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Temp\ZLT041b5.TMP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Temp\ZLT041bf.TMP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SoftwareDistribution\EventCache\{9330B9B7-756A-409B-B450-7DFBFEE3EF07}.bin Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Internet Logs\IAMDB.RDB Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Internet Logs\fwpktlog.txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Internet Logs\fwdbglog.txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Internet Logs\MAXITO.ldb Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Eigene Dateien\setup.exe/stream/data0006 Infizierte Objekte: Trojan-Downloader.Win32.Zlob.buk übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Eigene Dateien\setup.exe/stream Infizierte Objekte: Trojan-Downloader.Win32.Zlob.buk übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Eigene Dateien\setup.exe NSIS: infiziert - 2 übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007052520070526\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Max Mustermann\Cookies\index.dat Das Objekt ist gesperrt übersprungen

C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075571.dll Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen

C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075572.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen

C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075573.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen

C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075663.dll Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen

C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075664.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen

C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075665.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen

C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075672.dll Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen

C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075673.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen

C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075674.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen

C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075687.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen

C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075688.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.bgl übersprungen

C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075689.dll Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen

C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075690.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen

C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075691.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.bgl übersprungen

C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075692.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen

C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075693.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen

C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075696.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btj übersprungen

C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP125\change.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.




Logfile of HijackThis v1.99.1
Scan saved at 10:47:57, on 25.5.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\mobile PhoneTools\CapFax.EXE
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h#tp://www.yahoo.com/
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: (no name) - {740FB5D9-1B51-4133-9478-1192F28AEFA3} - C:\WINDOWS\system32\poxrprof.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CapFax] C:\Programme\mobile PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [Fast Home] C:\WINDOWS\system32\svcnvt.exe home
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdS0_0_0
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136548014560
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

sorry - hab diesen rapport vergessen!


SmitFraudFix v2.186

Scan done at 23:14:50,17, Do 24.05.2007
Run from C:\Dokumente und Einstellungen\Hannes Moser\Eigene Dateien\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{25b7d2fd-4f71-46d1-801a-7de323e4ec82}"="equiparant"

[HKEY_CLASSES_ROOT\CLSID\{25b7d2fd-4f71-46d1-801a-7de323e4ec82}\InProcServer32]
@="C:\WINDOWS\system32\indwvm.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{25b7d2fd-4f71-46d1-801a-7de323e4ec82}\InProcServer32]
@="C:\WINDOWS\system32\indwvm.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 localhost
127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\indwvm.dll -> Hoax.Win32.Renos.gen.n
C:\WINDOWS\system32\indwvm.dll -> Deleted


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\blank.mht Deleted
C:\Programme\Video ActiveX Access\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{3F5C8787-0B5C-4B44-B7B3-4F1ACA3F528C}: DhcpNameServer=195.34.133.21 195.34.133.22
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3F5C8787-0B5C-4B44-B7B3-4F1ACA3F528C}: DhcpNameServer=195.34.133.21 195.34.133.22
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=195.34.133.21 195.34.133.22
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=195.34.133.21 195.34.133.22


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

HKLM\SOFTWARE\SHUDDERLTD Deleted

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Hi,
irgendwie seh ich das Problem grade nicht.
Mach also bitte mal folgendes:
-Deaktiviere die Systemwiederherstellung (Systemsteuerung->System->Systemwiederherstellung-> den Haken bei "Systemwiederherstellung deaktivieren" setzen)
-lade dir ccleaner und bereinige nun damit dein system. (starten und dann unter der Kategorie Cleaner, Karteireiter Windows "Analyze" und dann "Run Cleaner" klicken).

Danach sollten die meisten Meldungen von Kapersky weg sein. Lass dann nochmal nen eScan laufen und poste das Ergebnis hier. (Die verlinkte find.bat mit "speichern unter" aufn Rechner holen und in 12. den Teil mit der find.zip überspringen und gleich mit der find.bat weitermachen.)

Außerdem bitte einmal diese Datei:

Zitat:

C:\WINDOWS\system32\poxrprof.dll

auswerten.

Hallo Myrtille!

Bevor ich das mache noch schnell eine Frage: Gibt es bei meinen HJT Files eigentlich nichts was zu "fixen" wäre?

HS

Jein, HJT stellt eine Diagnose zb der Programme die beim Starten automatisch ausgeführt werden.
Würdest du jetzt etwas fixen, nimmst du das Programm damit sozusagen ausm Autostart. Mehr nicht.
Man wird einen Trojaner also nie dadurch loswerden, dass man im HJT etwas "fixt"

Bei dir ist es nun so, dass die "bösen" Zlobeinträge im HJT zwar vorhanden waren, allerdings hat sich Smitfraud um die gekümmert, deswegen gibt es jetzt auch keine Überbleibsel von Zlob mehr im HJT-Log, ganz sauber ist es deswegen allerdings nicht.

Andererseits sind diese Einträge:

Zitat:

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CapFax] C:\Programme\mobile PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdS0_0_0
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe

mE nicht absolut notwendig.

Ok und den hier, darfste gleich auch noch auswerten.

Zitat:

O4 - HKLM\..\Run: [Fast Home] C:\WINDOWS\system32\svcnvt.exe home

Der scheint nämlihc nicht ganz so lieb zu sein, wie ich ursprünglich dachte.

Hallo,

Zitat:

svcnvt.exe

Wenn das zweite v ein u wäre ,würden wir vermutlich von einem bösen Burschen sprechen...

Troj/StartP-BDA - Trojaner - Sophos Bedrohungsanalyse

Allerdings müßte uns "helpsearcher" etwas dazu sagen können...
Bekommst du nackte Mädels auf den Bildaschirm,ohne es zu wollen ?
Nur an welche denken ,zählt nicht...
Bin gespannt ,was Jotti oder Virustotal dazu sagen.
Irrlicht

Ich hatte die Info hierher:
Trojan-Downloader.Win32.Delf.ks

Ob das bei sophos ein Tippfehler ist?

Naja - die erste Datei hier bietet ja einiges. Die andere scheint verschollen zu sein, denn wenn ich sie durch den Jotti suchen lasse, kann er sie nicht finden.
Den e-scan hab ich übrigens noch nicht gemacht, da das runterladen ewig dauern würde (16 MB - und meine download Geschwindigkeit ist seit dem Virus deutlich zurückgegangen). Außerdem gibt es keine nackten Mädls die aus dem Nichts auftauchen (wobei die Frage hier offen ist, ob das dann ein schlechter oder ein guter Virus ist )


Datei: poxrprof.dll
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: UPX

A-Squared Adware.Win32.Stud.a gefunden
AntiVir ADSPY/Stud.A.1 gefunden
ArcaVir Adware.Stud.A gefunden
Avast Win32:Trojano-3384 gefunden
AVG Antivirus Generic.LRH gefunden
BitDefender Trojan.Downloader.6588.E gefunden
ClamAV Adware.BHO-13 gefunden
Dr.Web Trojan.DownLoader.6588 gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus not-a-virus:AdWare.Win32.Stud.a (4, 1, 400) gefunden
Fortinet W32/Small.CGU!tr gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.Win32.Stud.a gefunden
NOD32 Win32/Adware.BHO.AA application gefunden
Norman Virus Control W32/Stud.B gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Trojan.PSW.KorGame.i gefunden
VirusBuster Keine Viren gefunden
VBA32 AdWare.Win32.Stud.a gefunden

Hallo!

Ich weiß, nachdem ich ja nicht gerade ein Computerexperte bin frag ich vielleicht Sachen die euch ziemlich dumm erscheinen, aber irgendwann muss man ja anfangen dazuzulernen - also ich bitte um Nachsicht

1. Wie aufgelistet ist die Datei: poxrprof.dll mit allen möglichen Sachen infiziert - was mach ich jetzt damit? Darf ich die als Ganzes löschen?

2. Wie ist es möglich, dass der Jotti eine Datei nicht findet, die beim HJT aufscheint?

Danke!