von meinem Freund der Sohn hat grosse Probleme mit seinem PC und da ich hier schon desöfteren hilfreiche tipps erlesen konnte nur wir leider nicht weiterkommen bräuchte ich mal eure hilfe .... wir haben den Hijack mal rüber laufen lassen und ich stelle es hier rein *ich hoffe ich mache es nun richtig*




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:11:15, on 24.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\chbu.exe
C:\WINDOWS\explorer.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winknmqxx.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\nunmv.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\siaj.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\uambog.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winfpmdgb.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\Thomas\LOKALE~1\Temp\xsdu.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winlvbuoi.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\pylux.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winlfcsc.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\TeamViewer\Version4\TeamViewer.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\axasna.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\jtud.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\wingatsf.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\xnsy.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\qlekq.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\leljy.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\urvc.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\dgsnt.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winfeiyi.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winmrwau.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winebglw.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winuwqgeb.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\sino.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\rkkk.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\wincxbxm.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winvyjbl.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winhnroj.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winngsfa.exe
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winjwln.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [wgskasc] "c:\dokumente und einstellungen\thomas\lokale einstellungen\anwendungsdaten\wgskasc.exe" wgskasc
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6131 bytes

Hallöchen,

du hast W32/sality drauf, dies ist ein Fileinfector.
Hier sind Infos zu diesem: Eset - Win32/Sality.NAJ
Eset - Win32/Sality.NAO

Ich muss dich darauf hinweisen, dass deine Passwörter ausgelesen wurden.
Externe Speichermedien wie USB-Sticks, ext. Festplatten und Co sind wahrscheinlich auch infiziert.
Der Sality legt ein Autorun.inf an auf die Sticks und Festplatten. Beim Formatieren von diesen bitte die SHIFT-Taste beim Einstecken der Sticks oder Festplatten gedrückt halten um den Autostart zu vermeiden.

Jeder Rechner der mit diesem Fileinfector in Kontakt getreten ist durch an/abstecken der ext. Speichermedien sollte auf Sality überprüft werden.

Hier eine genau Anleitung zum Neu Aufsetzen des Rechners: http://www.trojaner-board.de/51262-a...sicherung.html

Zudem hattest du noch Navipromo drauf, an diesem Eintrag zu erkennen:

Zitat:

O4 - HKCU\..\Run: [wgskasc] "c:\dokumente und einstellungen\thomas\lokale einstellungen\anwendungsdaten\wgskasc.exe" wgskasc

Infos dazu hier: Navipromo ist zurück

ich bedanke mich erstmal für die schnelle antwort und ich werde es so weitergeben

Lade bitte folgende Datein bei uns gemäß dieser Anleitung http://www.trojaner-board.de/54791-a...ner-board.html bei uns hoch.

Zitat:

C:\DOKUME~1\Thomas\LOKALE~1\Temp\winmrwau.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winebglw.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winuwqgeb.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\sino.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\rkkk.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\wincxbxm.exe

ich habe bis eben drangesessen um euch die dateien zu schicken ist gar nicht so einfach die zu finden vor allem wenn man vorher nicht weiss wo die exe dateien hingehören jedenfalls haben wir nun gesehen das sie alle zum programm TeamViewer gehören und der ist clean........ diesen Fileinfector bekomme ich den auch irgendwie anders vom pc runter oder muss der komplett platt gemacht werden und neuaufsetzen ???

Hi,

es würde mich sehr wundern, wenn die Dateien zu Teamviewer gehören. Könntest du sie bitte trotzdem hochladen?

Die Dateinamen sind etwas unglücklich, ausgeschrieben lautet der Ordner:
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Temp

Dort die Dateien suchen.
Danke.

lg myrtille

ja genau so heisst der ordner und dort sitzt auch das programm TeamViewer drinne sobald ich wieder zugriff auf seinem pc habe schicke ich euch die dateien rüber .... ich selbst habe das programm ja auch und habe mal bei mir geschaut und bei mir ist es auch im gleichen ordner drinne .... alles klar ich habe es gefunden hast recht es gehört nicht zum programm habe mal den gleichen weg an meinem pc durchgeführt und da fand ich den ordner lokale einstellungen den ich bei thomas nicht fand obwohl ich die versteckten freigab ... wie gesagt sobald ich wieder zugriff habe schicke ich euch die dateien rüber ..... sorry mein fehler und danke das ihr so viel zeit für uns überhabt um lösungen zu finden .... *mir peinlich ist *