Weiß nicht etwa 1-2 monate würde ich schätzen.
Evtl. auch länger.

OK, dann erstmal diese Maßnahme vorziehen:

http://www.dingens.org
-> Programm laden (dingens.org/win32sec.exe), ausführen, "Einzelner Computer" markieren und mit "OK" bestätigen. Dann System neu starten und wieder hier melden.

Ok, weiter im Text: deaktiviere die Systemwiederherstellung! Das geht so: http://www.systemwiederherstellung-d...indows-xp.html

Starte dann nochmals HijackThis, setze Häkchen neben den folgenden Einträge und wähle "Fix checked":

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O2 - BHO: EventHandler Class - {9FB534E3-67CB-4307-AE0A-9E8B5581BE2C} - C:\PROGRA~2\WINDOW~2\WinSB.DLL
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.0002.1001\de\msntb.dll


O4 - HKLM\..\Run: [Winsock2] WINDOWS2.EXE
O4 - HKLM\..\Run: [Microsoft Services] lsrv.exe
O4 - HKLM\..\Run: [agrkuwl] C:\WINDOWS\System32\eczbsuw.exe
O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [Winsock4] SASEURHJ.EXE
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [CashBack] C:\Programme\CashBack\bin\cashback.exe
O4 - HKLM\..\Run: [NaviSearch] C:\Programme\NaviSearch\bin\nls.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [lmv] C:\WINDOWS\lmv.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lsrv.exe
O4 - HKCU\..\Run: [Microsoft Services] lsrv.exe
O4 - HKCU\..\RunOnce: [Winsock4] SASEURHJ.EXE
O4 - HKCU\..\RunOnce: [Winsock2] WINDOWS2.EXE


O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ht*p://public.windupdates.com/get_f...7002 f5b97a1db
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - ht*p://p1x.de/jinstall-1_4_2-windows-i586.cab


Wie gesagt, diese markieren, "Fix checked" wählen, dann System neu starten, ein neues HijackThis-LogFile erstellen und hier posten.

Nächste Schritte:

6.) Füge auch diese Dateien in den Quarantäneordner ein:
nvms.dll
mscb.dll
msbe.dll

7.) Packe diesen ganzen Ordner mit den Dateien als Archiv und schütze dieses bei Erstellung mit dem Passwort "virus" (ohne Anführungszeichen). Sende dieses zip-Archiv mit den Dateien darin dann bitte an die in meiner Signatur angeführten Mailadressen.

8.) Lass eScan mit aktuellen Signaturen und gemäß der bebilderten Anleitung laufen:
http://www.trojaner-board.de/42731-escan-anleitung.html

Poste hier abschließend das eScan-LogFile.

Diese 2 waren nicht vorhanden:


O4 - HKCU\..\RunOnce: [Winsock4] SASEURHJ.EXE
O4 - HKCU\..\RunOnce: [Winsock2] WINDOWS2.EXE

Ich Fixe jetzt und reboote..

Zitat:

Zitat von Ollrich

Ich Fixe jetzt und reboote..

Gut - dann neues HijackThis-LogFile und weiter, wie ich es beschrieben habe. Hattest du das dingens-Tool inzwischen ausgeführt?

Ja habe dingens-Tool ausgeführt...


Logfile of HijackThis v1.98.2
Scan saved at 01:56:12, on 23.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Program Files\WindUpdates\WinUpdt.exe
C:\Program Files\WindUpdates\WinKA.exe
C:\Programme\Analog Devices\AT-AR215 USB ADSL MODEM\DSLMON.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe
C:\Dokumente und Einstellungen\Oliver\Desktop\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.giga.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Programme\Analog Devices\AT-AR215 USB ADSL MODEM\DSLMON.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEA5BE7F-EBDB-4002-90D9-6FBBFCC8A88E}: NameServer = 217.237.150.33 194.25.2.129

Zitat:

Zitat von Ollrich

Ja habe dingens-Tool ausgeführt...

Gut - dann kommt jetzt wenigstens erstmal nichts mehr nach (jedenfalls was die Lücken im System betrifft - geöffnete Hintertüren durch die sicher einige Zeit aktiv gewesene Malware kann ich allerdings nicht ausschließen).


Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

-> Dem System fehlt es an Patches - einer der Gründe für den extremen Schädlingsbefall deines Systems.


Die folgenden drei Prozesse im Taksmanager beenden:

C:\Program Files\WindUpdates\WinUpdt.exe
C:\Program Files\WindUpdates\WinKA.exe
C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe

Dann diese drei Dateien löschen! Wenn es im normalen Modus nicht klappt, lösch die im abgesicherten Modus.


Diese Einträge fixen:

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe"


Dann nochmals neues HijackThis-Logfile erstellen.

Zitat:

Zitat von mmk

Nächste Schritte:

6.) Füge auch diese Dateien in den Quarantäneordner ein:
nvms.dll
mscb.dll
msbe.dll

7.) Packe diesen ganzen Ordner mit den Dateien als Archiv und schütze dieses bei Erstellung mit dem Passwort "virus" (ohne Anführungszeichen). Sende dieses zip-Archiv mit den Dateien darin dann bitte an die in meiner Signatur angeführten Mailadressen.

8.) Lass eScan mit aktuellen Signaturen und gemäß der bebilderten Anleitung laufen:
http://www.trojaner-board.de/42731-escan-anleitung.html

Poste hier abschließend das eScan-LogFile.

Ist das normal das wenn ich es öffne kein PW angefordert wird?

So, ich bin jetzt erstmal offline - das Gröbste ist weg, ohne allerdings von einem sicheren, sauberen System sprechen zu können - dazu war es zu sehr verseucht. Du solltest es daher über kurz oder lang neu aufsetzen.

Die genannten Punkte kannst du aber noch abarbeiten.

Zitat:

Zitat von Ollrich

Ist das normal das wenn ich es öffne kein PW angefordert wird?

Was meinst du?

ich habe die zip datei geschickt aber als ich sie geöffnet habe wurde kein passwort verlangt liegt das daran das ich es erstellt habe???

Also bei mir wird ein Passwort verlangt. Bei dir ist wahrscheinlich nur die Vorschau über das Packprogramm geöffnet - dazu braucht es noch kein Passwort!

Wie auch immer: führe diese Dateien nicht aus - behalte sie zwecks Beweissicherung im zip-Archiv. Den Quarantäneordner selbst kannst du jetzt löschen, denn du hast ja die zip-Datei.

Wenn ich mein eScan Log File kopier und hier einfügen will hängt sich der IE auf................................