Trojaner über YouTube Henky.Tanzen und andere

Martinus1961 · 04.10.2007, 12:13

Schönen guten Tag,

nachdem ich schon versucht habe, mich zu dem Trojaner Henky.Tanzen schlau zu machen, weiß ich doch noch nicht recht weiter. AntiVir hat ihn angeblich in Quarantäne verschoben, bzw. dann die andere Meldung "gelöscht".
Die Meldung war: In der Datei 'C:\WINDOWS\sdrive\bku.exe'
wurde ein Virus oder unerwünschtes Programm 'W32/Henky.Tanzen' [W32/Henky.Tanzen] gefunden.
Ausgeführte Aktion: Datei löschen

Es kamen dann auch gleich noch andere Meldungen:

Die Datei 'C:\nzlrs.exe'
enthielt einen Virus oder unerwünschtes Programm 'W32/Henky.Tanzen' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen "4770ba5b.qua" verschoben!

Die Datei 'c:\dnmgr.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Adload.FU.27' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen "4771ba3c.qua" verschoben!
In der Datei 'D:\WINDOWS\System32\ddcyx.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.ConHook.Gen' [TR/Dldr.ConHook.Gen] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'D:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\25CHK9EB\css4[1]'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.ConHook.Gen' [TR/Dldr.ConHook.Gen] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'D:\WINDOWS\System32\sstqp.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.ConHook.Gen' [TR/Dldr.ConHook.Gen] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'D:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4ZYBILMT\css4[1]'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.ConHook.Gen' [TR/Dldr.ConHook.Gen] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\WINDOWS\sdrive\info.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.U.Gen' [TR/Crypt.U.Gen] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'D:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OP2RG5IJ\acid[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Adload.FU.27' [TR/Dldr.Adload.FU.27] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\plugy.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [TR/Crypt.ULPM.Gen] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'D:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W9ANCPQR\plugy[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [TR/Crypt.ULPM.Gen] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\ere.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [TR/Crypt.XPACK.Gen] gefunden.
Ausgeführte Aktion: Datei löschen

Die Datei 'D:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W9ANCPQR\la[1].ico'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen "475fb46c.qua" verschoben!

Ganz schön viele Meldungen innerhalb von 2 Minuten...

Dann öffnete sich auch ein Fenster mit der Bezeichnung c:\spagr.exe Das sah aus wie eine Meldung aus der DOS-Ebene, es war schwarz und mit einem Cursor-Symbol versehen, Windows konnte es nicht beenden, nur über "sofort beenden". Vorher wurde der PC automatisch heruntergefaher binnen einer Minute. Die Meldung habe ich leider nicht dokumentiert, es war irgendetwas mit NT-Remote....

Nach diesem Suchlauf und den Meldungen von AntiVir habe ich dann HijackThis ausgeführt und erlaube mir den LogFile zu kopieren:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:36:21, on 04.10.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Java\jre1.5.0_11\bin\jusched.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
D:\Programme\Gemeinsame Dateien\AOL\1175008292\ee\AOLSoftware.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Messenger\msmsgs.exe
D:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
D:\WINDOWS\system32\dllcache\mravsc32.exe
D:\WINDOWS\system32\svshost.exe
D:\WINDOWS\system\msnrav.exe
D:\WINDOWS\system32\netthrot.exe
D:\WINDOWS\System32\svchost.exe
D:\PROGRA~1\AOL9~1.0\waol.exe
D:\PROGRA~1\AOL9~1.0\shellmon.exe
D:\Programme\Microsoft Office\Office\WINWORD.EXE
D:\Dokumente und Einstellungen\xxx\Eigene Dateien\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - D:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AOLDialer] D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LVCOMS] D:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [HostManager] D:\Programme\Gemeinsame Dateien\AOL\1175008292\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "D:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - D:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - D:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .avi: D:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: D:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {26FCCDF9-A7E1-452A-A73D-7BF7B4D0BA6C} (AOL Pictures Uploader Class) - http://o.aolcdn.com/pictures/ap/Resources/2.0.8.98/cab/aolpPlugins.10.6.0.6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{515ECCCE-36FE-4BD0-9EEB-F7610763AF5A}: NameServer = 213.191.92.87 213.191.74.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FD6D8AE-FAAE-4B39-BC01-4B6E99AD1301}: NameServer = 205.188.146.145
O20 - Winlogon Notify: ddcbcay - D:\WINDOWS\SYSTEM32\ddcbcay.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Distributed Allocated Memory Unit - Unknown owner - D:\WINDOWS\system32\dllcache\mravsc32.exe
O23 - Service: Microsoft Browser Services - Unknown owner - D:\WINDOWS\system32\svshost.exe
O23 - Service: MSN RAV - Unknown owner - D:\WINDOWS\system\msnrav.exe

--
End of file - 6200 bytes

Nachdem ich eben auch nicht so bewandert bin..heißt das: Alles platt machen? Oder gleich einen neuen PC? Der ist ja immerhin 5 Jahre alt und hatte schon einen Crash auf Laufwerk "C", jetzt läuft er eben über "D". Ich habe schon gesehen...SP 1..das ist dann wohl die Todsünde überhaupt...

Im Prinzip benötige ich ja nur die "Eigenen Dateien" also im Großen und Ganzen Word- und sonstige Dokumente, sowie Bilder. Sind die denn dort auch ggf. verseucht, oder kann ich noch einmal eine Datensicherung von diesen Dateien durchführen und neu aufspielen?

Ganz viele Fragen, es wäre sehr hilfreich, wenn auch mir weitergeholfen werden kann.

Schöne Grüße an die ganzen Mitarbeiter hier

Martinus

nochdigger · 04.10.2007, 13:40

Hallo

Es wundert mich überhaupt nicht, dass bei dir einiges im Argen ist

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

dein System ist ja fast jungfräulich im Internet unterwegs

es fehlen dir sämtliche Servicepacks und Folgeupdates von M$ und darum hast u.a. diesen Freund hier an Board
W32/Tilebot-JO - Worm - Sophos threat analysis

Eine Bereinigung macht bei so starkem Befall (u.a. Backdoors) keinen Sinn, ich rate dir folge dieser Anleitung zum Neuaufsetzen des Systems und anschliessende Absicherung!

MFG

Martinus1961 · 04.10.2007, 14:51

Hallo Nochdigger,

herzlichen Dank für die schnelle Antwort,

so etwas habe ich schon befürchtet , das bedeutet also, den PC schnappen und neben eine anderen stellen, damit man den Anweisungen online folgen kann...oder doch eben ein neues Gerät zulegen...

Nochmals Grüße

Martinus 1961

nochdigger · 04.10.2007, 15:06

Hallo

Zitat:

...oder doch eben ein neues Gerät zulegen...

wenn du gewaltsam die Wirtschaft ankurbeln möchtest, niemand hindert dich

.

Spaß beiseite, in der Anleitung zum Neuaufsetzen steht, dass das Servicepack 2 besorgt werden muss, du kannst es dir auch von Freunden oder bekannten Leihen, hauptsache es stammt aus einer vertrauenswürdigen Quelle (evtl. Heft CD von PC Zeitschriften) oder auf einen sauberen Rechner runterladen und als CD brennen.

Zitat:

das bedeutet also, den PC schnappen und neben eine anderen stellen, damit man den Anweisungen online folgen kann...

Das währe ja 'ne 1+ viel besser könnte es eigentlich nicht passieren sieh aber zu, dass die beiden keine Netzwerkverbindung mehr miteinander haben.

In der Anleitung steht wirklich alles wissenswertes drin was man zum neu Aufsetzen benötigt und noch viel mehr.

MFG

EDIT Downloadlink WinXP SP2 --> http://www.microsoft.com/downloads/d...DisplayLang=de

Martinus1961 · 04.10.2007, 18:21

jetzt muss ich noch einmal auf die Nerven fallen..sagt mal, kann es sein, dass ich mir alleine durch das Einloggen bei AOL um dieses Forum wieder lesen zu können und eben auch die Anleitunge zu erhalten, auch auf dem anderen PC die gleiche Seuche eingefangen habe...Ich habe so den Verdacht, weil dort der PC auch wieder alleine runtergefahren ist wegen einer Meldung über Remote....

nochdigger · 04.10.2007, 18:44

Hallo

hört sich an wie Sasser Kurzbeschreibung Computer-Virus W32.Sasser.Worm
mit hab ich meine ersten Erfahrungen machen müssen

Zeige uns doch mal ein HijackThis Log vom zweiten Rechner.

MFG

Martinus1961 · 05.10.2007, 12:52

hmja, wäre ein netter Versuch gewesen, aber bei diesem PC ist wohl auch die Seuche drauf, jedenfalls ging er noch soweit, dass ich über meinen AOL-Account ins Netz kam, aber dann hatte er schon große Probleme, den HijackThis downzuloaden und dann einen Logfile zu erstellen. Das hatte ich dann unter großem Aufwand geschafft, aber dann kam ich nicht mehr ins Netz, bzw. alles war endlos lange. Dazu auch die Meldung: "NT-Autorität\System Remoteprozeduraufruf" und das System wurde in 60 Sekunden heruntergefahren. Eine ähnliche Meldung hatte ich schon auf dem ersten Pc zu dem ich hier postete. Nun noch einmal die bange Frage: Kann es sein, dass lediglich durch das Einloggen unter dem AOL-Account unter dem ich erwiesenermaßen mindestens einen Trojaner mir eingefangen habe schon wieder ein Zugriff möglich war? Ich habe nun auch diesen PC "platt" gemacht, also partitioniert (fabrikneu) und Windows-XP Home aufgespielt..vermutlich wieder ein entscheidender Fehler, denn dort befand sich ursprünglich Windows-XP Professional, aber diese Fassung habe ich nicht mehr, auch nicht die CD eben dazu. Dann habe ich lediglich nur noch AOL aufgespielt um den ersten PC nach Euren Anleitungen zu sanieren. Aber das war noch übler danach, es kamen die für einen zwischen DAU und ONU Angesiedelten die seltsamsten Fehlermeldungen, wie z.B.: "Prozedureinsprungpunkt nicht gefunden in ntdll.dll" und "KiFastSystemCall", "NSIS Error" und "C:Windows\System32\gaqmkrqz.exe". Nachdem der PC nach diesen Meldungen, ich war online, immer wieder ganz abstürzte und neu bootete, habe ich es dort aufgegeben. Nun bin ich wieder auf einem anderen PC online, hier versuche ich gleich noch einmal den LogFile zu produzieren, schicke aber schon einmal ab. Wie kann ich denn nun weitermachen? Muss ich den AOL-Account komplett löschen? Oder hat das andere Ursachen? Löschen wäre ein großer Aufwand, da diese Adresse dort schon seit langem geschäftlich genutzt wird, viele Links gespeichert sind und auch Unmengen E-Mails abgelegt wurden...

Schon einmal vielen Dank für die erbetene Hilfe.

P.S.: Nachdem dies ja alles mächtig Arbeit für euch ist, kann man denn auch sich erkenntlich zeigen, z-B. irgendeine Art Spende oder anderes?

Martinus 1961

Martinus1961 · 05.10.2007, 12:58

so, das ging ja doch schneller als ich dachte und habe schon gesehen, dass das auch wieder so eine alte Krücke ist...

Logfile of HijackThis v1.99.1
Scan saved at 13:55:09, on 05.10.07
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\SYSTEM\SCARDSVR.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\1182423779\EE\AOLSOFTWARE.EXE
C:\PROGRAMME\AOL 9.0\AOLTRAY.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e55/suche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/e55/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LexStart] lexstart.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1182423779\ee\AOLSoftware.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TwkSCardSrv] C:\WINDOWS\SCARDS32.exe
O4 - HKLM\..\RunServices: [SCardSvr] C:\WINDOWS\SYSTEM\SCardSvr.exe
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKLM\..\RunServices: [AolAcsDaemon1] C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRAMME\AIM95\AIM.EXE
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download...odndupload.cab

Martinus1961 · 05.10.2007, 13:13

sorry, hatte im Logfile die blöden Links übersehen, ihr könnte gerne das vorhergehende Löschen, damit eben nicht da einer doch klickt..also noch einmal:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:10:01, on 05.10.07
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\SYSTEM\SCARDSVR.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\1182423779\EE\AOLSOFTWARE.EXE
C:\PROGRAMME\AOL 9.0\AOLTRAY.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\EIGENE DATEIEN\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.aol.de/e55/suche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aol.de/e55/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LexStart] lexstart.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1182423779\ee\AOLSoftware.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TwkSCardSrv] C:\WINDOWS\SCARDS32.exe
O4 - HKLM\..\RunServices: [SCardSvr] C:\WINDOWS\SYSTEM\SCardSvr.exe
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKLM\..\RunServices: [AolAcsDaemon1] C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
O4 - .DEFAULT Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (User 'Default user')
O4 - .DEFAULT Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe (User 'Default user')
O4 - .DEFAULT Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE (User 'Default user')
O4 - .DEFAULT Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe (User 'Default user')
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRAMME\AIM95\AIM.EXE
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - hxxp://www.pixaco.de/static/download/pixacodndupload.cab

--
End of file - 4818 bytes

nochdigger · 05.10.2007, 14:56

Hallo

Zitat:

P.S.: Nachdem dies ja alles mächtig Arbeit für euch ist, kann man denn auch sich erkenntlich zeigen, z-B. irgendeine Art Spende oder anderes?

Hier am Board wird unentgeltlich geholfen

, die Helfer hier am Board sind hier in ihrer Freizeit aktiv, darum kann es auch mal passieren, dass jemand durchrutscht

.

Zu deinem zweitem System kann ich leider nur soviel sagen, dass Win98 glaub ich gar nicht mehr mit Updates versorgt wird, es wird also mit diesem System also immer kribbeliger sich im Internet rumzutreiben, hier währe evtl. mal nen neues Betriebssystem fällig (oder offline nutzen), wenn die Hardware denn noch mitspielt.

Zitat:

Muss ich den AOL-Account komplett löschen?

Wenn du den Zugang zu AOL meinst solltest du dort nach der Neuinstallation dein Zugangspasswort ändern, mehr eigentlich nicht.
Seit aber vorsichtig beim öffnen von Anhängen in den E-Mails, sonst könnte es sein, dass du im Handumdrehen wieder mit angenähtem Hals dastehst

.

MFG

Martinus1961 · 05.10.2007, 15:09

Beeindruckend, wie schnell hier geholfen wird :-)

Ja, das ist ein altes System (also der dritte PC letztlich) und Windows98 hat in der Tat kein Update mehr, das fliegt dann auch runter. Aber seltsam waren die anderen Meldungen schon, obwohl ja doch nur XP neu installiert wurde und außer AOL noch gar kein Programm drauf war..aber egal, jetzt lade ich mal AOL auf den sogenannten ersten PC...und hoffe alles andere passt dann auch wieder...

Martinus1961 · 05.10.2007, 20:51

Sooo..nun habe ich hoffe ich alles befolgt, mein neuester LogFile sieht so aus:

Ist nun alles in Ordnung:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:40:02, on 05.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [codfxrun] "C:\Programme\ATI Multimedia\codfx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Multimedia\main\launchpd.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\TV\EXPLBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191605963875
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1191605946562
O17 - HKLM\System\CCS\Services\Tcpip\..\{97E5C6F5-9175-477E-98F7-78B9DBE4354F}: NameServer = 205.188.146.145
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1B0107D-D61E-4103-9389-9D1162F5D686}: NameServer = 213.191.92.87 213.191.74.19
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing)

--
End of file - 4762 bytes

nochdigger · 06.10.2007, 04:13

Hallo

das Log sieht unauffällig aus, denke aber stets dran deine Software aktuell zu halten.

Zitat:

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

hier bitte Microsofts Updateseite besuchen (nur mit dem IE und vermutlich öfters) und alles an Updates laden was es gibt auch den Internet Explorer gibt es als Version 7.
--> Microsoft Windows Update

Zitat:

C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

Acrobat Reader gibt es in der Version 8.1 hier --> Adobe - Adobe Reader herunterladen - Alle Versionen

Gleiches gilt für Java, findest du hier --> Download der Java-Software von Sun Microsystems

Frohes schaffen noch

MFG

Trojaner über YouTube Henky.Tanzen und andere

Log-Analyse und Auswertung: Trojaner über YouTube Henky.Tanzen und andere