Von einem Backdoor ist nichts in deinen Log zu sehen.

Gator sowie die andere Adware hast du wahrscheinlich durch andere Software "mitinstalliert".

Hallo an alle,
und noch einer, den es erwischt hat.
ich hab mich auch schon mal durch die beiträge durchgewühlt und die empfohlenen scans gemacht. hier sind die daten:

hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 03:20:05, on 23.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\kurt\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/19840c0b819db31...dxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A37DCA96-588E-4CB0-B7FB-2A2C34BA5971}: NameServer = 62.104.191.241 62.104.196.134


escan viruslog:

File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe tagged as not-a-virus:AdWare.Gator.6034. No Action Taken.
File C:\WINDOWS\System32\cd_clint.dll tagged as not-a-virus:AdWare.Cydoor. No Action Taken.
File C:\Program Files\Altnet\Download Manager\adm25.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\Program Files\Altnet\Download Manager\adm4.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\Program Files\Altnet\Points Manager\sysdetect.dll tagged as not-a-virus:AdWare.BrilliantDigital.1007. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\A0000816.EXE.VIR infected by "TrojanDownloader.Win32.Femad.j" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\A0008214.EXE.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\A0008215.EXE.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\updmgr.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\winlogon.VIR infected by "TrojanClicker.Win32.XMedia.g" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe tagged as not-a-virus:AdWare.Gator.6034. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GController.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GObjs.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe tagged as not-a-virus:AdWare.Gator.6034. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE tagged as not-a-virus:AdWare.Toolbar.MyWay.b. No Action Taken.
File C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL tagged as not-a-virus:AdWare.ToolBar.MyWay.g. No Action Taken.
File C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL tagged as not-a-virus:AdWare.ToolBar.MyWay.f. No Action Taken.
File C:\Programme\PerfectNav\BHO\PerfectNav150c.dll tagged as not-a-virus:AdWare.Perfnav.a. No Action Taken.
File C:\WINDOWS\browserxtras\pn\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\cd_clint.dll tagged as not-a-virus:AdWare.Cydoor. No Action Taken.
File C:\WINDOWS\Temp\Altnet\adm25.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\WINDOWS\Temp\Altnet\adm4.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.

anscheinend hat sich der trojaner auch auf meinem Antivir eingenistet?
Ich hoffe, Ihr könnt mir helfen und mir sagen, was ich nun machen muss, um meinen rechner wieder sauber zu kriegen.

vielen dank schon mal im voraus und sowieso ein großen dank an alle erfahrenen leute, die solchen computernichtsnutzen wie mir weiterhelfen.

hamstone

achso, wollte noch erwähnen, dass ich mit mozilla firefox ins netz gehe.

@ hamstone

Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer)

Lösche:
Ordner C:\Programme\MyWay
Ordner C:\WINDOWS\System32\P2P Networking
Ordner C:\Programme\Gemeinsame Dateien\CMEII
Ordner C:\Programme\Gemeinsame Dateien\GMT
C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
+ die von eScan beanstandeten Dateien

- Neustart
- dein System updaten (SP2) http://v5.windowsupdate.microsoft.co...r/default.aspx
- neues Log-File von HijackThis posten

hallo cidre,

danke für die hilfe.
habe deine anweisungen hoffentlich richtig befolgt und auch sp2 runtergeladen und installiert.
hab den neuen log von HijackThis im nicht abgesicherten modus gemacht, und hier kommt er:

Logfile of HijackThis v1.98.2
Scan saved at 01:52:54, on 24.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\DOKUME~1\kurt\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/19840c0b819db31...dxIE601_de.cab

hoffentlich ist alles wieder sauber....
was ist eigentlich mit antivir? ich müßte es jetzt eigentlich updaten. ist es noch safe oder muss ich auf was anderes umsteigen?

vielen dank schon mal,
hamstone

@ hamstone,

wir müssen Dir noch helfen, Deine Virensammlung los zu werden ...

diese Malware-Einträge bitte von Hand löschen:

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren.

Zitat:

File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe tagged as not-a-virus:AdWare.Gator.6034. No Action Taken.
File C:\WINDOWS\System32\cd_clint.dll tagged as not-a-virus:AdWare.Cydoor. No Action Taken.
File C:\Program Files\Altnet\Download Manager\adm25.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\Program Files\Altnet\Download Manager\adm4.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\Program Files\Altnet\Points Manager\sysdetect.dll tagged as not-a-virus:AdWare.BrilliantDigital.1007. No Action Taken.

Den Ordner "C:\Programme\AVPersonal\INFECTED" leeren und das ClearProg runterladen. Leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf:

Zitat:

File C:\Programme\AVPersonal\INFECTED\A0000816.EXE.VIR infected by "TrojanDownloader.Win32.Femad.j" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\A0008214.EXE.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\A0008215.EXE.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\updmgr.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\winlogon.VIR infected by "TrojanClicker.Win32.XMedia.g" Virus. Action Taken: No Action Taken.

diese Malware-Einträge bitte von Hand löschen (siehe oben):

Zitat:

File C:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe tagged as not-a-virus:AdWare.Gator.6034. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GController.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GObjs.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe tagged as not-a-virus:AdWare.Gator.6034. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE tagged as not-a-virus:AdWare.Toolbar.MyWay.b. No Action Taken.
File C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL tagged as not-a-virus:AdWare.ToolBar.MyWay.g. No Action Taken.
File C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL tagged as not-a-virus:AdWare.ToolBar.MyWay.f. No Action Taken.
File C:\Programme\PerfectNav\BHO\PerfectNav150c.dll tagged as not-a-virus:AdWare.Perfnav.a. No Action Taken.
File C:\WINDOWS\browserxtras\pn\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\cd_clint.dll tagged as not-a-virus:AdWare.Cydoor. No Action Taken.

Mit dem ClearProg leeren:

Zitat:

File C:\WINDOWS\Temp\Altnet\adm25.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\WINDOWS\Temp\Altnet\adm4.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.

--> Teile uns bitte mit, ob alle Dateien gelöscht werden konnten.

Logfile-Auswertung:

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This, wenn Du folgenden Eintrag nicht kennst/brauchst: (Häk'chen setzen und auf Fix Checked klicken):

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://207.188.7.150/19840c0b819db3...RdxIE601_de.cab

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

--> Besuche diese Seite und lade Dir die Entfernungstools von Spyware und Adware 'Ad-Aware 6 Personal' und 'Spybot-Search & Destroy 1.3' runter. Beide Programme ergänzen einander und können auf einem System angewendet werden. Update beide Programme online und scanne mit ihnen offline Deinen Rechner (nacheinander). Lass bestehende Probleme beheben.

--> Downloade das Programm SpywareBlaster 3.2 und führe es auf dem Rechner aus. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit jedesmal, bevor Du online gehst, den Schutz für den/die Browser. Tägliches Updaten online nicht vergessen!

SD

hallo shadowdance,

habe jetzt brav deine anweisungen befolgt (hoffentlich nicht nur brav, sondern auch richtig...) ich habe hinter die einzelnen dinge jetzt in rot immer meine aktion daneben geschrieben, hoffentlich hilft dir das weiter.

wir müssen Dir noch helfen, Deine Virensammlung los zu werden ...

diese Malware-Einträge bitte von Hand löschen:

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren.
Zitat:
File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe tagged as not-a-virus:AdWare.Gator.6034. No Action Taken. wurde nicht gefunden
File C:\WINDOWS\System32\cd_clint.dll tagged as not-a-virus:AdWare.Cydoor. No Action Taken. gefunden und gelöscht
File C:\Program Files\Altnet\Download Manager\adm25.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken. gefunden (auch in windows/temp/altnet gefunden und gelöscht)
File C:\Program Files\Altnet\Download Manager\adm4.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken. gefunden (auch in windows/temp/altnet gefunden und gelöscht)
File C:\Program Files\Altnet\Points Manager\sysdetect.dll tagged as not-a-virus:AdWare.BrilliantDigital.1007. No Action Taken. gefunden und gelöscht, aber: sysdetect.dll in windows/temp/altnet/pmfiles.cab konnte nicht gelöscht werden.

Den Ordner "C:\Programme\AVPersonal\INFECTED" leeren gefunden und gelöscht und das ClearProg runterladen. Leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf:
mit clearprog 1.4.0 in internet explorer, opera, netscape und windos alle beschriebenen ordner geleert.
Zitat:
File C:\Programme\AVPersonal\INFECTED\A0000816.EXE.VIR infected by "TrojanDownloader.Win32.Femad.j" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\A0008214.EXE.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\A0008215.EXE.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\updmgr.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\winlogon.VIR infected by "TrojanClicker.Win32.XMedia.g" Virus. Action Taken: No Action Taken.
alle gelöscht

diese Malware-Einträge bitte von Hand löschen (siehe oben):
Zitat:
File C:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe tagged as not-a-virus:AdWare.Gator.6034. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GController.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GObjs.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
der komplette ordner C:\Programme\Gemeinsame Dateien\CMEII wurde schon im letzten durchgang gelöscht.
File C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe tagged as not-a-virus:AdWare.Gator.6034. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
der komplette ordner C:\Programme\Gemeinsame Dateien\GMT wurde schon im letzten durchgang gelöscht.
File C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE tagged as not-a-virus:AdWare.Toolbar.MyWay.b. No Action Taken.
nicht gefunden. der gesamte ordner C:\Programme\MyWay\myBar\1.bin ist wahrscheinlich gelöscht (findet sich nicht im windows explorer, auch wenn die versteckten und gesicherten dateien gezeigt werden.)
File C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL tagged as not-a-virus:AdWare.ToolBar.MyWay.g. No Action Taken.
nicht gefunden. der gesamte ordner C:\Programme\MyWay\myBar\1.bin ist wahrscheinlich gelöscht (findet sich nicht im windows explorer, auch wenn die versteckten und gesicherten dateien gezeigt werden.)
File C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL tagged as not-a-virus:AdWare.ToolBar.MyWay.f. No Action Taken.
nicht gefunden. der gesamte ordner C:\Programme\MyWay\myBar\1.bin ist wahrscheinlich gelöscht (findet sich nicht im windows explorer, auch wenn die versteckten und gesicherten dateien gezeigt werden.)
File C:\Programme\PerfectNav\BHO\PerfectNav150c.dll tagged as not-a-virus:AdWare.Perfnav.a. No Action Taken.
der ordner BHO existiert noch, ist aber leer.
File C:\WINDOWS\browserxtras\pn\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken. der ordner broserextras\pn existiert noch, ist aber leer.
File C:\WINDOWS\system32\cd_clint.dll tagged as not-a-virus:AdWare.Cydoor. No Action Taken.
nicht gefunden. wahrscheinlich auch schon im ersten durchgang gelöscht.

Mit dem ClearProg leeren:
Zitat:
File C:\WINDOWS\Temp\Altnet\adm25.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\WINDOWS\Temp\Altnet\adm4.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
habe jetzt mit clearprog den gesamten ordner altnet geleert, also auch die anderen darin befindlichen dateien. hoffentlich war das nicht falsch.

--> Teile uns bitte mit, ob alle Dateien gelöscht werden konnten.

Die einzige nicht zu löschende datei war also
sysdetect.dll in windows/temp/altnet/pmfiles.cab


Logfile-Auswertung:

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This, wenn Du folgenden Eintrag nicht kennst/brauchst: (Häk'chen setzen und auf Fix Checked klicken):

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://207.188.7.150/19840c0b819db3...RdxIE601_de.cab
eintrag gefixt.

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

Bevor ich die unten beschriebenen Programme runterlade, würde ich gerne noch wissen, ob die sich mit meinem antivir vertragen, oder ob ich das vorher deinstallieren soll. Vielen Dank erstmal für die Mühe, und hoffentlich hat der horror bald eine ende.
lg hamstone

ach so: habe noch folgendes verstecktes auf meinem desktop entdeckt: C:\Dokumente und Einstellungen\kurt\Desktop\thumbs.db
die datenmenge beträgt 10,5 kb
ist es save, die datenbak (ich nehme an, das ist eine) mir anzuschauen, oder lieber direkt löschen?
danke

--> Besuche diese Seite und lade Dir die Entfernungstools von Spyware und Adware 'Ad-Aware 6 Personal' und 'Spybot-Search & Destroy 1.3' runter. Beide Programme ergänzen einander und können auf einem System angewendet werden. Update beide Programme online und scanne mit ihnen offline Deinen Rechner (nacheinander). Lass bestehende Probleme beheben.

--> Downloade das Programm SpywareBlaster 3.2 und führe es auf dem Rechner aus. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit jedesmal, bevor Du online gehst, den Schutz für den/die Browser. Tägliches Updaten online nicht vergessen!

Zitat:

Zitat von hamstone

Bevor ich die unten beschriebenen Programme runterlade, würde ich gerne noch wissen, ob die sich mit meinem antivir vertragen, oder ob ich das vorher deinstallieren soll.

Zitat:

Zitat von hamstone

ach so: habe noch folgendes verstecktes auf meinem desktop entdeckt: C:\Dokumente und Einstellungen\kurt\Desktop\thumbs.db
die datenmenge beträgt 10,5 kb
ist es save, die datenbak (ich nehme an, das ist eine) mir anzuschauen, oder lieber direkt löschen?
danke

-->zu Deiner ersten Frage:

Entfernungstools von Spyware und Adware 'Ad-Aware 6 Personal' (1) und 'Spybot-Search & Destroy 1.3' (2), 'SpywareBlaster 3.2' (3) vertragen sich mit AntiVir und mit allen anderen bekannten AV/AT-Programmen. Die drei von mir genannten Programme sind keine AV/AT-Programme im eigentlichen Sinne, auch wenn sie manche Viren finden und löschen. Sie haben alle keinen Hintergrundwächter. Der Schutz wird durch Löschen der Malware, bei (1) und (2), auf dem System und eine Art Immunisierung des Systems, bei (1),(2),(3), erstellt. Also bitte AntiVir NICHT vom System entfernen, es wird noch gebraucht.

--> zu Deiner zweiten Frage:

ich kann sie so ohne Weiteres nicht beantworten, da ich die Datei nicht kenne. Die Bezeichnung "thumbs" steht für kleine Bilder (Daumennägel), die man macht, um beispielsweise auf dem Webspace die Ladegeschwindigkeit von Bildern auf einen Blick für Besucher zu erhöhen, der Besucher klickt dann nur auf DIE kleinen Bilder, die ihn interessieren und bekommt dann das dazugehörige grosse Bild zu sehen. Was ".db" (-> Database/Datenbank-System?) besagt, könnte ich aufsuchen, aber ich bin derzeit zu faul dazu ;-)

Bitte überprüfe mit virusscan.jotti.dhs.org:

C:\Dokumente und Einstellungen\kurt\Desktop\thumbs.db

und teile uns das Ergebnis der Überprüfung mit.

Lieben Gruss
SD

hallo shadowdance,

habe mir die drei empfohlenen tools runtergeladen und alles durchgeführt. erstaunlich, was sich so alles ansammelt...
habe thumbs.db durch den virusscan gejagt, der eine entwarnung gab.

allerdings treten jetzt doch probleme beim updaten von antivir auf. der rechner hängt sich beim installieren der runtergeladenen upgrades auf und kann nur mit stecker raus kalt gestartet werden. lieber komplett deinstallieren und das ganze programm noch mal neu runterladen?

es läuft allerdings auch nach dem absturz noch in der zwei-woche-alten version...

danke schon mal und noch mal,

hamstone

@ hamstone

Zitat:

Zitat von hamstone

lieber komplett deinstallieren und das ganze programm noch mal neu runterladen.

--> versuche es und lass uns wissen, ob es geholfen hat.

SD

Hallo,

Erstmal möchte ich ein großes dickes Lob ausrichten an die ganzen Helfer die es hier gibt
Ich hab schon einige Foren durschtöbert aber keins is besser als das hier :aplaus:

Auch ich hab da ein kleins Problem,bin nur nicht sicher ob es an dem Agent.AY liegt

Follgendes Problem liegt vor, seid kurzer Zeit geht bei mir ein kleines Windows Fenster "Regestrierungs Editor" auf mit folgenden Text "l0944.reg kann nicht impotiert werden. Fehler beim öffnen der datei .Mögliche Ursache ist ein Datenträger.- oder datei System Fehler"

Jetzt bin ich mir nicht sicher ob es wirklich an dem Agent.AY liegt ?
Antivir hat ihn zwar erkannt und gelöscht und auch nicht mehr gefunden ,aber das Fenster taucht immer wieder auf! bevor ich den VirenCheck durch geführt habe kam das Fenster jede 2-3 sec. mittlerweile ist es kurz nach dem Start 2-3 wieder aufgetaucht.

Ich kann mir leider nicht mehr weiter helfen und komm auch nicht auf den Punkt woran es liegen könnte!
Von daher wäre vielleicht nett wenn einer von den vielen Helfern mal meine logs durchstöbert.

Antivir ,Adawere,Spybot zeigen keine Anzeichen von Viren mehr.
Betriebsystem düfte auf den neusten stand sein.

Hier mein Log

Logfile of HijackThis v1.98.2
Scan saved at 16:41:21, on 26.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\hkcmd.exe
C:\Programme\Winamp\winampa.exe
C:\WINNT\system32\Sygate.exe
C:\winnt\system32\tega.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Downloads\AntiVirusStuff!\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [mode] D:\NBDriver.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] Sygate.exe
O4 - HKLM\..\Run: [lan] c:\winnt\system32\tega.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] Sygate.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] Sygate.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de

thx

@ dragon:

Bitte, Bitte, mach einen neuen thread auf und kopiere Deinen Text dort rein. Hier schreibt jeder nur noch drunter undrüber...

@Dragon
Scanne deinen PC bitte mal mit eScan im abgesicherten Modus und poste was gefunden wurde.

Zitat:

O4 - HKCU\..\Run: [Sygate Personal Firewall] Sygate.exe

das dürfte der sein => http://www.trojaner-board.de/showpos...28&postcount=2

sry Cacatoa,wollte nicht einfach in den Thread so herein platzen,kein absicht gewesen

Danke Haui45 ,werd das mal überprüfen

Zitat:

Zitat von Katinka

Hallo zusammen,

ich erhalte seit ca. 2-3 Tagen durch Antivir Meldungen zu oben genannter Backdoor. Ich lösche die entsprechenden Dateien immer, anschließend findet der Viren-Scanner nichts mehr. Spätestens am nächsten Tag erhalte ich jedoch wieder eine Meldung.

Da ich derzeit meine Diplom-Arbeit schreibe und kurz vor der Abgabe stehe, möchte ich ungern aufgrund des Zeitverlustes das System komplett neuaufsetzten.

Meine Frage ist nun, kann die Backdoor (über die ich leider im Internet und nicht einmal bei Antivir selbst etwas finden konnte) Schaden anrichten? Ich wähle mich nicht direkt ins Internet ein, sondern gehe aufgrund einer geteilten DSL-Flat-Verbindung über einen Linux-Router ins Internet.

Ich vermute, dass sich die Backdoor versucht bei mir einzuklinken, da das System nach dem Löschen der Dateien ja als sauber angezeigt wird. Kommen die Antivir-Meldungen nur zum Zeitpunkt des "Angriffs"?

Die entsprechenden befallenen Dateien befinden sich immer in demselben Ordner (in den gemeinsamen Dateien). Die gelöschten Dateien sind exe-files. In den beiden betroffenen Ordnern verbleiben eine LPF und eine BBR Datei.

Hilft es die entsprechenden Ordner zu löschen - und darf ich diese Ordner löschen oder sind die wichtig fürs System?

Ich hoffe Ihr könnt mir weiterhelfen,
Eure verzweifelte Katinka

Hallo Katinka Ich konnte mit Antivir den BDA Agent auch nicht finden bzw löschen ich habe Antivir gelöscht und habe bitdefender installiert der hat Ihn platt gemacht und ich bekomme keine Meldungen mehr. :-))

Zitat:

Zitat von Haui45

@Dragon
Scanne deinen PC bitte mal mit eScan im abgesicherten Modus und poste was gefunden wurde.

das dürfte der sein => http://www.trojaner-board.de/showpos...28&postcount=2

escan hat den Backdoor bei mir nicht gefunden erst mit bitdefender konnte ich Ihn den Garaus machen