Hallo alexo,

Zitat:

in der tat erkennt spybot nun nichts mehr, macht also auch kein protokoll ("glückwunsch, keine spyware").

escan sagte mir bei erneutem durchlauf:

File C:\_RESTORE\TEMP\A0207731.CPY tagged as not-a-virus:AdWare.Gator.
File C:\_RESTORE\TEMP\A0207732.CPY tagged as not-a-virus:AdWare.Gain.6041. No Action Taken.
File C:\_RESTORE\TEMP\A0207733.CPY tagged as not-a-virus:AdWare.Gator.
File C:\_RESTORE\TEMP\A0207734.CPY tagged as not-a-virus:AdWare.Gator.
File C:\_RESTORE\ARCHIVE\FS2702.CAB tagged as not-a-virus:AdWare.Gator.
File C:\_RESTORE\ARCHIVE\FS2704.CAB tagged as not-a-virus:AdWare.Gator.
File C:\_RESTORE\ARCHIVE\FS2716.CAB tagged as not-a-virus:AdWare.Gator.
File C:\_RESTORE\ARCHIVE\FS2735.CAB tagged as not-a-virus:AdWare.Gator.

Damit bin ich nicht einverstanden .. sei bitte so nett und schau mal hier nach: Spybot-Forschung. Weise auf diesen Thread hin und frag nach, ob Spybot 1.3.1TX auch Adware aus Archiven löscht. Schreib bitte an: detections@spybot.info - mit Verweis auf diesen Thread.

Zitat:

Zitat von alexo

so, alles gemacht. komischerweise gab es die ersten vier dateien, die escan aufgezählt hatte (die aus dem _restore\temp ordner) auf einmal nicht mehr...

Geh mal bitte hierhin: C:\_RESTORE Doppelklick rechte Maustaste auf diesen Ordner. Sind dort noch Einträge (Dateien) aus Deiner Liste zu sehen? So ja, bitte löschen!

Zitat:

Zitat von alexo

umsteigen aus "sicheren" browser? das wäre z.b.?

Lies Dich bitte hier ein, da findest Du viel Information:

- Vorbeugende Maßnahmen: www.trojaner-info.de
- www.mathematik.uni-marburg.de
- IE sicher konfigurieren: www.datenschutzzentrum.de.
- Einschränktes Benutzerkonto: www.ntsvcfg.de.

Wenn Du weitere Fragen hast, melde Dich.

SD

doppelklick rechts? da passiert bei mir nichts, du meintest sicher links oder? wie dem auch sei, in dem ordner ist nichts mehr mit dem namen zu finden. überhaupt ist auf einmal fast gar nichts mehr in dem ordner?!? sehr merkwürdig...

was ich noch bemerkt habe: auf dem desktop habe ich plötzlich einen ordner "backups"... wo kann der herkommen (lauter "24102004-dateien", also von gestern)?

alexo

Servus
ich hab mir auch den BDS/Agent.AY eingefangen. Ich hab mich schon informiert dass man escan braucht und hijack, aber ich kann escan nicht in c:\bases entpacken weil es das garnicht gibt, und da ich gelesen hab zuerst escan dann hijack kann euch den log noch nicht geben. Aber ich hab mal trotzdem escan angemacht, wo hin es sich auch immer entpackt hat, und da hat er gesagt ich muesste es kaufen bevor es viren entfernt.....
mfg Bloodhound & thx im vorraus

Hallo Bloodhound,

eigentlich ist das ganz einfach. Du erstellst erst ein Hijack This Logfile, über diesen Link: http://www.trojaner-board.de/51130-a...ijackthis.html, wenn's geht bitte ein Logfile, dass mit dieser Zeile und Version beginnt: Logfile of HijackThis v1.98.2

Dieses Logfile postest Du dann mittels copy&paste hier in diesen Thread. Dann schauen wir uns das gemeinsam an.

Den eScan hast Du also bereits runter geladen. Das ist ja ganz toll. Den Ordner c:\bases gibt es nicht auf Deiner Festplatte. Das ist ein Ordner, den Du selbst erstellen darfst. Du gehst über START -> Programme -> C: und erstellst dort einen neuen Ordner namens "bases". Genauso geschrieben wie ich das gerade gemacht habe. Nun hast Du ja das eScan-Zip noch bei der Hand. Das schleppst Du nun mit der Maus in diesen neuen Ordner "bases" auf der Festplatte C: Dort entpackst Du den Zip-Bestand. Und damit hast Du genau das, was Du brauchst: viele einzelne Dateien, die zum eScan gehören, im Ordner "bases".

Nun klickst Du auf eine bestimmte Datei namens "kavupd.exe" und updatest damit den eScan online. Und wenn Du damit fertig bist, gehst Du aus dem Netz, in den abgesicherten Modus und klickst dann auf die Datei "mwavscan.com", um den eScan auszuführen. Guck mal in die Anweisung .. da sind Bilder dabei, die Dir zeigen, wie das aussehen soll: eScan.

Du musst den eScan nicht kaufen. Der eScan überprüft Deine Festplatte und sucht nach Viren oder anderer Malware. Er findet alles. Und wenn der Scan fertig ist, das dauert ziemlich lange, erstellt das eScan-Programm einen Bericht, der in der "mwav.log" zu finden ist. Speichere den Bericht bitte ab.

Das Ende von diesem Bericht möchten wir gerne hier im Forum sehen. Das Ende beginnt hier:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****

Was drunter steht: Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Und wir sagen Dir dann, wie Du was löschen musst.

SD

Hallo shadow danke für die Antwort aber jetzt hab ich ein par Fragen bitte.

1. Wie heisst der Virus , kans sein das es der ist----> Backdoor.Win32.Afcore.aw , wen ja wieso finde ich keine Infos über den im Internet.

2. also mein PC funktionirt bis jetzt ohne probleme, was kan der Virus verursachen.

3. was meinst du mit Betriebssystem Format C den Datenträger das heisst ich kan dan mein XP- wieder drauf laden oder auch neu kaufen wie heisst das Wo kan ich das Kaufen hat jemand ein link.

4. Du schreibst ich soll mein PC neu formatieren , heisst das kein neuses format C kaufen ?

PS: soryy wen ein paar fragen vielecht blöd sind aber ich versteche es nicht ganz.

Danke Noch für deine Antwoten

Hallo deni,

Zitat:

Zitat von deni

der E.Scan: hatt 9 Gefunden 1 gelöscht der Virus heist Backdoor.Coreflod

In Deinem Posting steht, dass der eScan einen Virus gefunden hat, der Backdoor Coreflod heisst. Wenn Du nochmal nachschaust, wirst Du erkennen, dass Du das Wort falsch geschrieben hast. Um zu wiederholen:

zu Deiner Frage 1):

Zitat:

Information zu Backdoor.Coreflood:

McAfee und Sophos-> "Erläuterung" beachten: "Troj/CoreFloo-C ist ein Backdoor-Trojaner, der einem Remote-Eindringling Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen ermöglicht." [..] "Troj/CoreFloo-C verfügt außerdem über eine Anti-Löschfunktion, die verhindern soll, dass virale Prozesse beendet werden, und erstellt die Registrierungseinträge oben erneut, wenn diese entfernt werden." Dein System muss als kompromittiert betrachtet werden: www.mathematik.uni-marburg.de. Am besten wäre es, Du würdest Dein System formatieren und neu aufsetzen und Deinen Rechner so schnell wie möglich aus dem Netz nehmen. Das System Deines Computers ist infiziert und stellt für Dich und für andere ein Sicherheitsrisiko dar.

zu Deiner Frage 2):

10 Schritte-Lösung (bitte lesen!)

zu Deiner Frage 3 und 4):

die Festplatte formatieren: www.formatieren.de (bitte lesen) und Neuinstallation v. windowsXP (bitte lesen!)

SD

Hallo, ich habe auch seit einigen Wochen besagten Backdoor BDS/Agent.AY; der Wächter von AntiVir bringt regelmäßig Meldungen.

Nach Lektüre der hier aufgeführten Beiträge habe ich eScan und Hijack-this heruntergeladen und laut Anleitung durchgeführt. Beim ersten Durchlauf fand er insgesamt 30 Viren, darunter folgende:

Trojan.spy.HTML.Bayfraud.g
Trojan/Downloader.win32.Keenval.f (2x)
BkCln.Unknown

Leider habe ich den Log nicht gespeichert. Die entsprechenden Dateien habe ich aber gelöscht. Beim zweiten Suchdurchlauf (natürlich im abgesicherten Modus) wurde nur noch AdWare gefunden:

Anschließend habe ich mit Hj-t gescant und folgenden Log erhalten

Logfile of HijackThis v1.98.2
Scan saved at 18:58:32, on 26.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\CAP3RSK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Palm\HOTSYNC.EXE
C:\Programme\Microsoft Office\Office10\msoffice.exe
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.com/b1redirect
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1&1 Internet AG
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Startup: Reboot.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office Shortcut-Leiste.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .csm: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .csml: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .cub: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .cube: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .dx: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .emb: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .embl: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .gau: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .jdx: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .mol: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .mop: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .pdb: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .rxn: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .scr: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .skc: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .spt: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .tgf: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .xyz: C:\Programme\Internet Explorer\Plugins\npchime.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.com/b1redirect
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/active...pload_1111.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095353113712
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC54CBA6-B0F5-418E-BC84-06D436D35812}: NameServer = 192.168.120.252,192.168.120.253

Enthält Spyware: C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
Deinstallation wäre empfehlenswert.

Lösche diese Datei im abgesicherten Modus:
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe


Fixe dies mit HijackThis:

R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O9 - Extra button: (no name) - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activ...upload_1111.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/act...ol_v1-0-3-9.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...b?1095353113712
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/active...ol_v1-0-3-0.cab

Installiere SP2 von XP!

Hallo!!

Ich habe das selbe Problem wie meine Vorgägner hier. Ich hab schon mal geHijackt, wie es oben beschrieben wurde. Ich habe echt nicht viel ahnung davon, aber es wäre echt nett, wenn mir jemand helfen könnte... DANKE!
FixMix



Logfile of HijackThis v1.98.2
Scan saved at 14:35:45, on 28.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NCLConf.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\download\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://channels.aimtoday.com/search/aimtoolbar.jsp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://channels.aimtoday.com/search/aimtoolbar.jsp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.groveisland.ie:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: iFinger plugin / Browser helper object - {A114D52B-870C-4F15-8021-B6D7F91A054B} - C:\Programme\iFinger\plugins\IE.ifp
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: AIM Search - {40D41A8B-D79B-43d7-99A7-9EE0F344C385} - C:\Programme\AIM Toolbar\AIMBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NCLConf.exe"
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: iFinger 2.1.lnk = C:\Programme\iFinger\iFinger.exe
O4 - Global Startup: iFinger.lnk = C:\Programme\iFinger\iFinger.exe
O8 - Extra context menu item: &AIM Search - res://C:\Programme\AIM Toolbar\AIMBar.dll/aimsearch.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/27aa5040...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://highst-gw.galway.net/activex/AxisCamControl.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{63F93A36-4771-4CC8-9C9D-C689E6F62244}: NameServer = 194.125.133.10,194.125.133.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{63F93A36-4771-4CC8-9C9D-C689E6F62244}: NameServer = 194.125.133.10,194.125.133.11
O17 - HKLM\System\CS2\Services\Tcpip\..\{63F93A36-4771-4CC8-9C9D-C689E6F62244}: NameServer = 194.125.133.10,194.125.133.11

@ FixMix

Lade eScan AntiVirus

Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O17 - HKLM\System\CS1\Services\Tcpip\..\{63F93A36-4771-4CC8-9C9D-C689E6F62244}: NameServer = 194.125.133.10,194.125.133.11
O17 - HKLM\System\CS2\Services\Tcpip\..\{63F93A36-4771-4CC8-9C9D-C689E6F62244}: NameServer = 194.125.133.10,194.125.133.11

Lösche diese Dateien:
Ordner C:\Programme\Gemeinsame Dateien\CMEII
Ordner C:\Programme\Gemeinsame Dateien\GMT

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html
- Neustart
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HijackThis und die Virus Log Information von eScan posten

hi kämpfe auch seit heute mit dem Agent.AY obwohl der Rechner vor 2 Tagen neu aufgesetzt wurde!
eigentlich verwende ich den IE nur für Windowsupdates ansonsten Firefox

Antivir hat die Datein zwar immer gelöscht aber es hilft nicht dauerhaft

HijackThis log:

Logfile of HijackThis v1.98.2
Scan saved at 10:51:48, on 31.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\Logitech\iTouch\iTouch.exe
D:\Logitech\MouseWare\system\em_exec.exe
D:\Winamp\winampa.exe
C:\WINDOWS\System32\SiXPack.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
D:\AVPersonal\AVGUARD.EXE
D:\AVPersonal\AVGNT.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SiXPack] SiXPack.exe /minimize
O4 - HKLM\..\Run: [WinampAgent] d:\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SiXPack 5.1+] C:\WINDOWS\System32\SiXPack 5.1+.exe /minimize
O4 - HKLM\..\RunOnce: [SpybotSnD] "D:\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099080419859
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B6701AD-4C84-4C59-A882-78017623E6EF}: NameServer = 10.0.1.1

Ausserdem hab ich mal Spybot drüber laufen lassen und so sachen wie Gator usw entfernt!

C:\WINDOWS\System32\SiXPack.exe checke mal hier: www.virustotal.com
Anschließend schicke die Datei an partytime-germany.ice@web.de

Fixe mit HijackThis dies:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Zitat:

Zitat von *Christian*

C:\WINDOWS\System32\SiXPack.exe checke mal hier: www.virustotal.com
Anschließend schicke die Datei an partytime-germany.ice@web.de

Fixe mit HijackThis dies:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

danke werd ich gleich mal versuchen

aber die SixPack.exe stammt von meiner Soundkarte?

Dann is ok.

Frage an die Spezies,
sollte dieser Trojaner festgestellt werden, und der Benutzer weiß genau wann er sich diesen eingefangen hat, reicht da unter WinXP die Systemwiederherstellung zu dessen Beseitigung aus ???