Hallo an alle Experten,
könnt ihr bitte mal drüber schauen, ob alles ok ist. Hatte vor paar Tagen einige Meldungen von meinem Antivirus Programm, daß sich Viren auf meinem Laptop befinden. Habe einige Files gefixt. Da ich aber nicht wirklich den Durchblick habe, bräuchte ich dringend eure Hilfe ob alle Übeltäter beseitigt sind!? Danke, danke , danke....


Logfile of HijackThis v1.99.1
Scan saved at 02:13:11, on 11.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/content/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger7Version\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\Eynur\Lokale Einstellungen\Temp\HijackThis.exe /startupscan
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Programme\Yahoo!\Common/ycsms.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by115fd.bay115.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101205127859
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{12A136DE-9F1C-462B-948D-FEF4E2F9125E}: NameServer = 195.50.140.178 195.50.140.114
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo

Zitat:

Hatte vor paar Tagen einige Meldungen von meinem Antivirus Programm, daß sich Viren auf meinem Laptop befinden.

was waren das für Meldungen?
Was wurde wo angemeckert (Pfad/Dateiname) und von welchem Programm?

Zitat:

Habe einige Files gefixt.

Das bedeutet die Dateien befinden sich noch auf deinem Rechner!?
Allein mit dem fixen ist es nicht getan.

Zitat:

Da ich aber nicht wirklich den Durchblick habe, bräuchte ich dringend eure Hilfe ob alle Übeltäter beseitigt sind!?

Anhand deines Logs kann ich nichts schlimmes auszumachen, was aber überhaupt nichts bedeutet.

MFG

Hi,
du hättest ruhig in deinem
alten Thread bleiben können, GUA hatte den für dich verschoben.


Mich interessiert insbesondere dieser Eintrag:

Zitat:

O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\Eynur\Lokale Einstellungen\Temp\HijackThis.exe /startupscan

Lässt du beim hochfahren absichtlich immer HijackThis durchlaufen?

lg myrtille

Hallo,
siehste sag ich doch ich hab null Plan :-( Habe gedacht mit dem fixen ist das Thema erledigt! Wäre Dir dankbar, wenn Du mir hilfst diesen Mist loszuwerden.

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Donnerstag, 7. Juni 2007 12:00

Es wird nach 809055 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: LAPTOPXP

Versionsinformationen:
BUILD.DAT : 247 14437 Bytes 10.05.2007 11:52:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 18.05.2007 22:11:22
AVSCAN.DLL : 7.0.4.0 41000 Bytes 18.05.2007 22:11:21
LUKE.DLL : 7.0.4.11 143400 Bytes 18.05.2007 22:11:25
LUKERES.DLL : 7.0.4.0 10792 Bytes 18.05.2007 22:11:25
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 01:06:54
ANTIVIR1.VDF : 6.38.1.170 5569024 Bytes 21.05.2007 00:59:26
ANTIVIR2.VDF : 6.38.1.227 320000 Bytes 05.06.2007 16:31:06
ANTIVIR3.VDF : 6.38.2.5 44544 Bytes 06.06.2007 07:24:00
AVEWIN32.DLL : 7.4.0.32 2478592 Bytes 05.06.2007 16:31:06
AVWINLL.DLL : 1.0.0.7 14376 Bytes 18.05.2007 22:11:22
AVPREF.DLL : 7.0.2.1 24616 Bytes 18.05.2007 22:11:19
AVREP.DLL : 7.0.0.1 155688 Bytes 18.05.2007 22:11:27
AVPACK32.DLL : 7.3.0.10 360488 Bytes 31.05.2007 14:01:01
AVREG.DLL : 7.0.1.2 31784 Bytes 18.05.2007 22:11:20
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 18.05.2007 22:11:12
AVARKT.DLL : 1.0.0.17 278568 Bytes 18.05.2007 22:11:09
NETNT.DLL : 7.0.0.0 7720 Bytes 18.05.2007 22:11:25
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 18.05.2007 22:10:57
RCTEXT.DLL : 7.0.45.0 86056 Bytes 18.05.2007 22:10:57

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: aus

Beginn des Suchlaufs: Donnerstag, 7. Juni 2007 12:00

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOLMediaPlaybackControl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YahooMessenger.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOButler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eBayTBDaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVCOMSX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'slserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '36' Prozesse mit '36' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '18' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\jr.exe
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Spy.Agent.32048
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4695fe1a.qua' verschoben!
C:\WINDOWS\lrgjnuv.exe
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Spy.Agent.32048
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46cefe36.qua' verschoben!
C:\WINDOWS\smat.exe
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Spy.Agent.32048
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46c8fe3a.qua' verschoben!
C:\WINDOWS\uouar.exe
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Spy.Agent.32048
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46dcfe41.qua' verschoben!
C:\WINDOWS\x.exe
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Spy.Agent.32048
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46ccfe06.qua' verschoben!
C:\WINDOWS\kelebeksohbet\script3.ini
[FUND] Enthält Signatur des IRC-Virus IRC/Blackcodeloader
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46d9ff9b.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 7. Juni 2007 14:51
Benötigte Zeit: 2:50:59 min

Der Suchlauf wurde abgebrochen!

2620 Verzeichnisse wurden überprüft
102313 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
6 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
102307 Dateien ohne Befall
1330 Archive wurden durchsucht
1 Warnungen
8 Hinweise
0 Versteckte Objekte wurden gefunden


Hier der Report von Avira Antivir:

Hi myrtille,

danke für deinen Hinweis, vor lauter Verzweiflung hab ich meinen Hilferuf nochmals reingesetzt!

Zum Thema ob ich HijackThis immer beim hochfahren durchlaufen lasse, kann ich nur sagen JA, denn dachte so könne ich erkennen, ob noch krumme Dinger auf dem System sind!?

LG Boncuk1977

Hallo

ich fürchte, mir bleibt nur dir zu raten dieser Anleitung zum Neuaufsetzen des Systems und anschliessende Absicherung! zu folgen.
Wie es aussieht hast du u.a. diesen Freund hier an Board --> Troj/Zapchas-H - Spyware Trojan - Sophos threat analysis
und das kann er

Zitat:

Zitat von Sophos

* Allows others to access the computer
* Steals information
* Downloads code from the internet
* Installs itself in the Registry
* Leaves non-infected files on computer

Bei "BDS/Spy.Agent.32048" findet sich nicht wirklich etwas im Netz noch ein Grund mehr die Neuinstallation anzuraten.

MFG

Oh je oh je

Vielen Dank für die schnelle Antwort...

Werden Deinen Rat befolgen, aber glaube das mit dem Neu aufsetzen ist für mich dann doch ein bissl zu kompliziert. Werde mal schauen, wer das hinbekommt. Trotzdem vielen lieben Dank.

LG Boncuk