Zitat:

escan hat den Backdoor bei mir nicht gefunden erst mit bitdefender konnte ich Ihn den Garaus machen

Toll, hast du das gleiche System wie Dragon? Sicher nicht => du musst nicht die gleiche Malware auf deinem System haben!
btw: Bitdefender ist ganz toll...
man sollte sich nie auf einen Virenscanner verlassen, denn kein AV erkennt und/oder beseitigt alles!

soo hab mal einen scan durchgeführt!
Haui du bist richtig gelegen mit dem Wurm ,so wie das aussied hat Antivir den Agent.AY gelöscht. wenigstens was
Hier das Logfile

So wié ich das heraus filtern konnte ist nur der W32/Rbot-PN zu finden,fragt sich jetzt nur mit welchem Programm ich den löschen kann,da Antivir ihn nicht erkennt,e-scan hatte ihn zwar erkannt konnte ihn aber nicht löschen,gibt es da evtl. ne alternative ?

Ich frag mich jetzt nur noch ob das alles mit dem Fenstern wo bei mir dauern öffnen noch etwas zu tun hat.

Hallo.
Wäre bitte jemand auch so freundlich, mein Logfile zu begutachten. Hab seit 2 Wochen auch die tägliche Meldung von Antivir. Thx.

Logfile of HijackThis v1.97.7
Scan saved at 14:26:51, on 27.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Antivir\AVGUARD.EXE
C:\Programme\Antivir\AVWUPSRV.EXE
C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Programme\Apoint\Apntex.exe
D:\Programme\Sicherheit\ZoneAlarm\ZoneAlarm\zlclient.exe
C:\Programme\Antivir\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Dell\Bluetooth Software\BTTray.exe
C:\PROGRA~1\Dell\BLUETO~1\BTSTAC~1.EXE
D:\Programme\Download\Soulseek\slsk.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Kommunikation\Skype\Phone\Skype.exe
D:\Programme\Kommunikation\ICQLite\ICQLite\ICQLite.exe
C:\DOKUME~1\Stefan\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Stefan\LOKALE~1\Temp\kavss.exe
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HCQCIT71\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.boku.ac.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.boku.ac.at:3128
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe Reader\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Sicherheit\ZoneAlarm\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Antivir\AVGNT.EXE /min
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\Kommunikation\ICQLite\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\Kommunikation\ICQLite\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...ab2292e6aa4d79
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab

@Sandy,
mach bitte einen neuen Thread auf!


@Dragon,
leider keine guten Nachrichten, bei einem aktiven Backdoortrojaner gibts leider nur eins => http://www.trojaner-board.de/showpos...28&postcount=2
=> Infos zum RBot

Zitat:

Zitat von Dragon

Hallo,

Erstmal möchte ich ein großes dickes Lob ausrichten an die ganzen Helfer die es hier gibt
Ich hab schon einige Foren durschtöbert aber keins is besser als das hier :aplaus:

Auch ich hab da ein kleins Problem,bin nur nicht sicher ob es an dem Agent.AY liegt

Follgendes Problem liegt vor, seid kurzer Zeit geht bei mir ein kleines Windows Fenster "Regestrierungs Editor" auf mit folgenden Text "l0944.reg kann nicht impotiert werden. Fehler beim öffnen der datei .Mögliche Ursache ist ein Datenträger.- oder datei System Fehler"

Jetzt bin ich mir nicht sicher ob es wirklich an dem Agent.AY liegt ?
Antivir hat ihn zwar erkannt und gelöscht und auch nicht mehr gefunden ,aber das Fenster taucht immer wieder auf! bevor ich den VirenCheck durch geführt habe kam das Fenster jede 2-3 sec. mittlerweile ist es kurz nach dem Start 2-3 wieder aufgetaucht.

Ich kann mir leider nicht mehr weiter helfen und komm auch nicht auf den Punkt woran es liegen könnte!
Von daher wäre vielleicht nett wenn einer von den vielen Helfern mal meine logs durchstöbert.

Antivir ,Adawere,Spybot zeigen keine Anzeichen von Viren mehr.
Betriebsystem düfte auf den neusten stand sein.

Hier mein Log

Logfile of HijackThis v1.98.2
Scan saved at 16:41:21, on 26.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\hkcmd.exe
C:\Programme\Winamp\winampa.exe
C:\WINNT\system32\Sygate.exe
C:\winnt\system32\tega.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Downloads\AntiVirusStuff!\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [mode] D:\NBDriver.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] Sygate.exe
O4 - HKLM\..\Run: [lan] c:\winnt\system32\tega.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] Sygate.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] Sygate.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de

thx

installiere bitdefender, suche Ihn im Internet, 30 tage Laufzeit, der löscht Dir
die BDA Meldung zuverlässig. Falls Du Sie öfter in die Quarantäne geschickt hast mußt Du das wiederholen

@ Kategu

Das mit dem Zitieren musst du noch erlernen, denn deine Fullquotes entsprechen nicht der Netiquette.

btw:

Zitat:

installiere bitdefender

Wirst du von Bitdenfender finanziert, damit du diesen Satz jedesmal gebetsmühlenartig wiederholst?

@Kategu
langsam hab ichs mitbekommen, dass Bitdefender dir geholfen hat Malware von deinem System zu entfernen. Nun ist es aber so, dass nicht jeder das gleiche Problem wie du hat. => Jeder braucht individuelle Hilfe. Es wird niemanden nützen wenn du ihm sagst er soll Bitdefender installieren und all seine Probleme sind gelöst!
btw: Ich hab ihm schon eine Antwort gegeben, nämlich dass er formatieren soll (Grund: siehe oben).

hallo alle miteinander...

habe auch seit geraumer zeit dieses BDS/Agent.AY-problem!!!

wäre jemand so nett und könnte sich mein log-file mal anschauen?

vielen dank im voraus...


hier das log-file:

Logfile of HijackThis v1.98.2
Scan saved at 12:52:12, on 28.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\wanmpsvc.exe
E:\WINDOWS\SOUNDMAN.EXE
E:\Programme\Ahead\InCD\InCD.exe
E:\PROGRA~1\0190WA~1\WARN0190.EXE
E:\WINDOWS\System32\WUAUMQR.EXE
E:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
E:\Programme\QuickTime\qttask.exe
E:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
E:\Programme\Real\RealPlayer\RealPlay.exe
E:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
E:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE
E:\WINDOWS\System32\ctfmon.exe
E:\Programme\Smart OnlineController\soc.exe
E:\WINDOWS\System32\rundll32.exe
E:\Programme\Gemeinsame Dateien\GMT\GMT.exe
E:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
E:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
E:\Programme\Wireless\IEEE802.11b WLAN USB Adapter v2.5\WLUSBCFG.exe
E:\Programme\Realtek\Rtl8180\RtlWake.exe
E:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
E:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
E:\WINDOWS\System32\wuauclt.exe
E:\WINDOWS\System32\HPZipm12.exe
E:\Dokumente und Einstellungen\Didi\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://results.dashbar.com/search?c=...Ez&ver=2.1.0.0
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - E:\Programme\DashBar\DashBar21.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InCD] E:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [0190 Warner] E:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Winsock2 driver] WUAUMQR.EXE
O4 - HKLM\..\Run: [AOLDialer] E:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDTray] "E:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CMESys] "E:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [RealTray] E:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [LWBMOUSE] E:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [AQ3HelperStartUp] E:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE /partner AQ3
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Smart OnlineController] E:\Programme\Smart OnlineController\soc.exe /minimized
O4 - HKCU\..\RunOnce: [Winsock2 driver] WUAUMQR.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = E:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = E:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: GStartup.lnk = E:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: IEEE802.11b WLAN USB Adapter Utility.lnk = E:\Programme\Wireless\IEEE802.11b WLAN USB Adapter v2.5\WLUSBCFG.exe
O4 - Global Startup: RtlWake.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - E:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .pdf: E:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/28c39734...dxIE601_de.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://www.popfile.de/myplaylist/pc/...LER_loader.exe

Scanne hiermit im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html

Lösche die gefundenen Dateien manuell im abg. Modus.

Danach poste neues Log von HijackThis.

hallo zusammen!

hab mir dieses scheissding ebenfalls eingefangen! nur hab ich weitaus mehr probs damit es los zu bekommen... Escan funzt bei mir nicht & HiJack lässt sich nicht installieren weil mir eine bestimmte dll - datei fehlt! "a2" hab ich auch schon einige male laufen lassen der nichts findet... ansonsten treten bei mir die gleichen "syntome" auf wie bei den postern anfangs auch... was soll ich denn jetzt machen? weiss jemand rat?

@ oimel

Zitat:

Escan funzt bei mir nicht

Warum?

Zitat:

HiJack lässt sich nicht installieren weil mir eine bestimmte dll

http://support.microsoft.com/default...d=kb;de;192461

btw: Erstelle einen neuen Thread und schildere dort nochmal dein Problem.

Zitat:

Zitat von *Christian*

Scanne hiermit im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html

Lösche die gefundenen Dateien manuell im abg. Modus.

Danach poste neues Log von HijackThis.

so, nach stundenlangem gescanne und gelösche...hier das neue log:

Logfile of HijackThis v1.98.2
Scan saved at 00:54:24, on 29.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\wanmpsvc.exe
E:\WINDOWS\SOUNDMAN.EXE
E:\Programme\Ahead\InCD\InCD.exe
E:\PROGRA~1\0190WA~1\WARN0190.EXE
E:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
E:\Programme\QuickTime\qttask.exe
E:\Programme\Real\RealPlayer\RealPlay.exe
E:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
E:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE
E:\WINDOWS\System32\WUAUMQR.EXE
E:\WINDOWS\System32\ctfmon.exe
E:\Programme\Smart OnlineController\soc.exe
E:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
E:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
E:\Programme\Wireless\IEEE802.11b WLAN USB Adapter v2.5\WLUSBCFG.exe
E:\WINDOWS\System32\rundll32.exe
E:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
E:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
E:\Programme\WinAce\WinAce.exe
E:\Dokumente und Einstellungen\Didi\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InCD] E:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [0190 Warner] E:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AOLDialer] E:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDTray] "E:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] E:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [LWBMOUSE] E:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [AQ3HelperStartUp] E:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE /partner AQ3
O4 - HKLM\..\Run: [Winsock2 driver] WUAUMQR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Smart OnlineController] E:\Programme\Smart OnlineController\soc.exe /minimized
O4 - HKCU\..\RunOnce: [Winsock2 driver] WUAUMQR.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = E:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = E:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: IEEE802.11b WLAN USB Adapter Utility.lnk = E:\Programme\Wireless\IEEE802.11b WLAN USB Adapter v2.5\WLUSBCFG.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - E:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .pdf: E:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/28c39734...dxIE601_de.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://www.popfile.de/myplaylist/pc/...LER_loader.exe

@ cidre

danke fürs erste! HiJack geht nach installation der dll. datei jetzt und hab auch gleich mal gescannt! soll ich denn immer noch einen neuen thread eröffnen oder den log hier posten? muss ich denn da was unerkenntlich machen im log? hab leider von dem allen nicht soviel ahnung... deswegen frag ich lieber vorher nach!

edit: hab hier öfter gelesen man sollte im abgesicherten modus scannen! wie geht das denn?

@oimel
ja, bitte eröffne einen neuenThread. Du kannst persönliche Angaben, wie z.B. deinen Benutzernamen unkenntlich machen. Aber keine Angst, da steht eigentlich nichts drin was deine Privatsphäre gefährden könnte
Das mit dem abgesicherten Modus bezieht sich auf eScan, das HjT Log bitte im "Normalmodus" erstellen.

@ Haui45

hab jetzt einen neuen thread im "Hijacker / HiJackThis Logs posten" erstellt! hoffe das ist der richtige ort... kenn mich noch nicht wirklich aus hier!