Hallo zusammen,

habe seit ein paar Tagen diesen lästigen Gast auf meinem Rechner. In bestimmten Zeitabständen poppt immer diese Meldung auf - habe zwar schon gegoogelt (und bin dabei auf Euer Forum gestoßen), habe aber auch gelesen, dass man eben nicht die in einem anderen Fall gegebenen Löschhinweise, auf sein eigenes System übertragen sollte...

Logfile habe ich bereits erstellt:

Logfile of HijackThis v1.99.1

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]

Hi und

Bitte erstelle als erstes ein HijackThis Logfile mit der neuesten Version

Hi,
[edit]
Erstell bitte ein neues HijackThis log. Beachte dabei die NUB
[/edit]
lg myrtille

EDIT: Ich seh gar nichts mehr, weil Sunny, die Backe, das Log gelöscht hat. Aber du hast vermutlich recht

Hab grad gesehen das du "ntos.exe" drauf hast
Ich würde dir Neuaufsetzen raten...(oder nicht? was meinst du myrtille?)
Da ntos.exe ja ne Backdoor Funktion hat

Hallo, erst einmal das bereinigte Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:58:41, on 21.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hujudylq\xulajgno.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\qvkjohyr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Dokumente und Einstellungen\*****\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [StrSysEn] C:\WINDOWS\system32\qvkjohyr.exe
O4 - HKCU\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\gemeinsame dateien\pc tools\lsp\pctlsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\gemeinsame dateien\pc tools\lsp\pctlsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\gemeinsame dateien\pc tools\lsp\pctlsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\gemeinsame dateien\pc tools\lsp\pctlsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - h**p://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1214474715281
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: infoproc - {0FE8EAF2-08F3-C1C2-C30A-06B3C9E2D3AC} - C:\Programme\auvdrjd\infoproc.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

?!!?!?!?!?!?

In diesem log ist die "nots.exe" nicht mehr vorhanden??

Kannst bitte mal danach suchen?

edit: hahah sunny der spiddy gonzalez ist immer gleich da wenn was nicht forenkonform is... xD

Zitat:

Zitat von trojan-death

?!!?!?!?!?!?

In diesem log ist die "nots.exe" nicht mehr vorhanden??

Die ntos.exe ist beim nächsten Neustart wieder vorhanden, gerade weil sie "nur" gefixxt/gelöscht wurde!

Denn eine "Wunderheilung" ist mir noch nicht bekannt..

Zitat:

Zitat von [GC]Sunny

Die ntos.exe ist beim nächsten Neustart wieder vorhanden, gerade weil sie "nur" gefixxt/gelöscht wurde!

Denn eine "Wunderheilung" ist mir noch nicht bekannt..

Wann wurde sie dann gefixt?
Ich hab ihn nicht dazu angwiesen, darum bin ich ja auch so überrascht

Ihr steckt jede ntos.exe in die gleiche Tonne.

Zitat:

Zitat von trojan-death

Wann wurde sie dann gefixt?
Ich hab ihn nicht dazu angwiesen, darum bin ich ja auch so überrascht

Das Wort "Neuinstallation" lässt manchmal die Leute über sich hinauswachsen.

Hallo, da bin ich wieder.

Der erste Logfile war von gestern , hätte jetzt nicht erwartet, dass sich da was getan haben könnten. Hab gerstern Abend aber diverse Virenscanner durchrattern lassen (Ad-aware, Spyware Doctor)...

Habe eben im abgesicherten Modus SmitfraudFix laufen lassen - finde aber jetzt das Ergebnis nirgends, um es zu posten.... Speichert der das nicht automatisch ab?

"Das Wort "Neuinstallation" lässt manchmal die Leute über sich hinauswachsen. "


... das sicherlich auch :aplaus::aplaus::aplaus:

Gruß, Apop

Solche Sachen solltest du uns Mitteilen...
Wenn du die "ntos.exe" drauf hast/hattest, kann ich oder auch die anderen hier nicht garantieren das alles wieder i.O sein wird!!!(kann man eigentlich nie, aber bei der "ntos.exe" handelt es sich um einen trojaner mit Backdoor Funktion und somit kann man nie sicher sein ob der nun weg is oder nicht)
Ich rate dir somit ein Neuaufsetzen.

Hallo Plastique,
hast du den Ordner "wsnpoem" auf deinem System?
Wenn nicht, darf ich dich als glücklichen Besitzer des Gpcode.ai abstempeln.

Hmm, ja nun. Wenn ich die Suchfunktion nutze, findet sich auf meiner Festplatte KEIN Ordner mit diesem Namen...was wohl gut ist?!

Gruß, Plastique