Hi zusammen
Habe ein schwarzes Hintergrundbild mit der Aufschrift:
Warning, you`re in Danger. Kann mir jemand sagen was das ist und wie dieses Ding wieder loswerde?

Vielen Dank zum voraus
Pius

Ein Log mit diesem Programm erstellen:

http://www.trojaner-board.de/51130-a...ijackthis.html

Inhalt hier ins Forum posten.

Hallo Freunde,

auf ich habe oben beschriebenen Hintergrund auf meinem Desktop und bin über jeden konstruktiven Kommentar dankbar! Zur Info: Mein Virenscanner AntiVir6 (gerade upgedatet) meldet mir seit einigen Tagen regelmäßig Trojaner auf meinem System. Any comments zum Virenscanner selbst?

Danke Euch!

Tobias

Mein Hijackthis-Logfile folgt:

Logfile of HijackThis v1.98.2
Scan saved at 00:05:36, on 29.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Meine Spezielle Edition\CalCheck.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\DOWNLO~1\GETRIG~1.3\GETRIGHT\GETRIGHT.EXE
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Outlook Express\MSIMN.EXE
C:\Programme\Messenger\msmsgs.exe
C:\DOKUME~1\Tobias\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://other.thenewsearch.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://other.thenewsearch.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://other.thenewsearch.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://other.thenewsearch.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://other.thenewsearch.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://other.thenewsearch.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://other.thenewsearch.com/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://other.thenewsearch.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://other.thenewsearch.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://other.thenewsearch.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://other.thenewsearch.com/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://other.thenewsearch.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://other.thenewsearch.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://other.thenewsearch.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://other.thenewsearch.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.netscape.com/keyword/%s
O1 - Hosts: 209.120.179.64 auto.search.msn.com
O1 - Hosts: 69.50.173.250 auto.search.msn.com
O1 - Hosts: 69.50.173.250 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [winupd] C:\WINDOWS\System32\winupd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Startup: Ulead Photo Express Calendar Checker für Meine Spezielle Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Meine Spezielle Edition\CalCheck.exe
O4 - Global Startup: Ulead Photo Express Calendar Checker für Meine Spezielle Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Meine Spezielle Edition\CalCheck.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRAMME\AIM95\AIM.EXE (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: Win32 Classes -
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.250/othersearch.chm::/othersearch.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...ec47c4891aa171
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095293148696
O17 - HKLM\System\CCS\Services\Tcpip\..\{85DEA025-1F39-4522-8473-04AD8A422399}: NameServer = 62.104.191.241 62.104.196.134
O18 - Protocol: ayb - {07C0D34D-11D7-43F7-832B-C6BB41726F5F} - C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\blullxoubouck.dll

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Dein System ist nicht gepatcht!
Woran liegts?
[ ] keinen Bock
[ ] vergessen
[ ] gecracktes XP
[ ] MS könnte mich ja ausspionieren
[ ] Wozu soll das gut sein?!

OK, zu Deinem Fragebogen .

Die Historie meiner aktuellen PC-Probleme in Kurzform:
-Rechner fährt nicht hoch, vorübergehend ersetzt/stillgelegt.
-Selbsternannter Experte (aus Bekanntenkreis) nimmt sich vor etwa 10 Tagen der Sache an: Rechner funktioniert wieder.
-Versuchte Windows Updates scheitern (vertagt)
-(Hintergrund-)Problem tritt auf.

Ich bin kein Computerexperte und somit auf die Hilfe anderer angewiesen. Was ist Deiner Meinung nach zu tun? Würde mich über einen konkreten Vorschlag freuen!

Tobias

Hallo mico,

=> besuche www.windowsupdate.com, lade Dir alle Patches und Updates runter und aktualisiere Deinen IE.

=> fixe mit Hijack This im abgesicherten Modus:

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://other.thenewsearch.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://other.thenewsearch.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://other.thenewsearch.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://other.thenewsearch.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://other.thenewsearch.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://other.thenewsearch.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://other.thenewsearch.com/search.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://other.thenewsearch.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://other.thenewsearch.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://other.thenewsearch.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://other.thenewsearch.com/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://other.thenewsearch.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://other.thenewsearch.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://other.thenewsearch.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://other.thenewsearch.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.netscape.com/keyword/%s

O1 - Hosts: 209.120.179.64 auto.search.msn.com
O1 - Hosts: 69.50.173.250 auto.search.msn.com
O1 - Hosts: 69.50.173.250 auto.search.msn.com

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

O16 - DPF: Win32 Classes -
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.250/othersearch.chm::/othersearch.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f... c47c4891aa171

=> lösche im Taskmanager:
winupd.exe

=> lösche:
C:\WINDOWS\System32\winupd.exe

=> downloade eScan, erstelle dafür einen neuen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus, siehe Anleitung: Thread-6083

=> gib uns die Namen des Virus/der Viren an, die auf Deinem System gefunden worden sind.

=> erstelle ein neues Logfile mit Hijack This und poste es.

SD

Hi SD/Cidre/all,

sorry für die späte Antwort. Habe alle Schritte befolgt, hoffe das bringt neue Erkenntnisse. Die Suche mit escan verheisst nichts Gutes: über 30 Viren. Aber schaut selbst:
(1) Ergebnisse des Escans
(2) Aktuelles HJT-Logfile

(1) escan ergab Folgendes:

File C:\WINDOWS\system32\TFTP1760 infected by "Worm.Win32.Lovesan.a" Virus. Action Taken: No Action Taken.
File C:\Programme\mdsc4m\Print.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\mdsc4m\Www.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\mdsc4m\uninst.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\WINPROMO[1].EXE.VIR infected by "TrojanDropper.Win32.Small.hu" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\XDLDR24.EXE.VIR infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\XDLDR17.EXE.VIR infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\EXPLORER.EXE.VIR infected by "Trojan.Win32.Dialer.et" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\MSLDF.EXE.VIR infected by "Trojan.Win32.Dialer.ay" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\EXPLORER.EXE.001 infected by "Trojan.Win32.Dialer.eb" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\EXPLORER.EXE.002 infected by "Trojan.Win32.Dialer.eb" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\EXPLORER.EXE.003 infected by "Trojan.Win32.Dialer.eb" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\EXPLORER.EXE.004 infected by "Trojan.Win32.Dialer.eb" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\4TEVOD2Z\doit[1].exe infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\MNVZF89X\doit[1].exe infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\cd_clint.dll infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\TFTP1760 infected by "Worm.Win32.Lovesan.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\d_tony4.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\d_tony4.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\d_tony4.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.3\d_tony4.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\blullxoubouck.dll infected by "not-a-virus:AdvWare.Lop" Virus. Action Taken: No Action Taken.
File C:\Recycled\Dc137.exe infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: No Action Taken.
File C:\Programme\mdsc4m\Print.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\mdsc4m\Www.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\mdsc4m\uninst.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\WINPROMO[1].EXE.VIR infected by "TrojanDropper.Win32.Small.hu" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\XDLDR24.EXE.VIR infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\XDLDR17.EXE.VIR infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\EXPLORER.EXE.VIR infected by "Trojan.Win32.Dialer.et" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\MSLDF.EXE.VIR infected by "Trojan.Win32.Dialer.ay" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\EXPLORER.EXE.001 infected by "Trojan.Win32.Dialer.eb" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\EXPLORER.EXE.002 infected by "Trojan.Win32.Dialer.eb" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\EXPLORER.EXE.003 infected by "Trojan.Win32.Dialer.eb" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\EXPLORER.EXE.004 infected by "Trojan.Win32.Dialer.eb" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\4TEVOD2Z\doit[1].exe infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\MNVZF89X\doit[1].exe infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.


(2) HJT-Logfile

Logfile of HijackThis v1.98.2
Scan saved at 22:28:51, on 12.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\bases\mwavscan.com
C:\bases\kavss.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\PROGRA~1\DOWNLO~1\WINZIP~1\winzip32.exe
C:\DOKUME~1\Tobias\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://other.thenewsearch.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://other.thenewsearch.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://other.thenewsearch.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://other.thenewsearch.com/index.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Startup: Ulead Photo Express Calendar Checker für Meine Spezielle Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Meine Spezielle Edition\CalCheck.exe
O4 - Global Startup: Ulead Photo Express Calendar Checker für Meine Spezielle Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Meine Spezielle Edition\CalCheck.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRAMME\AIM95\AIM.EXE (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O18 - Protocol: ayb - {07C0D34D-11D7-43F7-832B-C6BB41726F5F} - C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\blullxoubouck.dll

Wie ist Eure Diagnose?

Danke & Gruss,
mico

Hallo mico,

wie gehst Du ins Netz? Wenn Du über die telefonische Einwahl ins Netz gehst, also nicht über DSL/ADSL, solltest Du zuerst alle Dateien, die einen Dialer enthalten, zur Beweissicherung auf Diskette sichern, für den Fall, dass sich Deine Telefonrechnung erhöht (www.dialerschutz.de).

Der eScan ab Version 4.5.1 löscht die gefundene Malware nicht mehr automatisch. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden, siehe eScan. "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre]

Downloade das Clear Prog und lass damit Deine Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf leeren.

Zitat:

File C:\WINDOWS\SYSTEM32\TFTP1760 infected by "Worm.Win32.Lovesan.a" Virus. Action Taken: No Action Taken.

Lade Dir bitte das Cleaner Tool runter und scanne damit Deinen Rechner.

Deinstalliere Deine Version des AVPersonal. Ziehe Dir eine neue Version und installiere sie, wenn Du AVPersonal verwenden willst.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht*p://other.thenewsearch.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = ht*p://other.thenewsearch.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://other.thenewsearch.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://other.thenewsearch.com/index.html
O18 - Protocol: ayb - {07C0D34D-11D7-43F7-832B-C6BB41726F5F} - C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\blullxoubouck .dll

und wenn Du diese Einträge nicht brauchst, bitte ebenfalls fixen:

O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html

Aktiviere die Systemwiederherstellung, boote in den normalen Modus.

Downloade hier Spybot-Search & Destroy 1.3 runter, scanne damit Deinen Rechner und lass eventuelle Probleme damit beheben.

Erstelle ein neues Hijack This Logfile und poste es.
__________________

zur Lektüre:

- IE sicher konfigurieren: www.datenschutzzentrum.de.
- Vorbeugende Maßnahmen: www.trojaner-info.de
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- www.mathematik.uni-marburg.de
__________________

SD

Hallo SD,

danke Die für Deine ausführlichen Anweisungen und Hinweise. Ich gehe per Modem ins Internet, Viren habe ich auf Dikette gespeichert.

War ja recht aufwändig, aber ich hab es jetzt geschafft:

(1) EScan: alle gefundenen "infected" gelöscht (4 der Dateien waren aber nicht zu finden).
(2) Clear Prog: OK, alles gesäubert.
(3) Cleaner Tool: Welcher Cleaner genau? Habe W32.Lovsan - MBlaster vermutet, gedownloadet, aber keinen Virus entdeckt.
(4) HJT (abgesichert): Einträge gefixt.
(5) Spybot: Alles gescannt und entfernt.

Hier nun also der neue Stand meines HJT-Logfiles:

Logfile of HijackThis v1.98.2
Scan saved at 11:40:01, on 13.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Meine Spezielle Edition\CalCheck.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\DOWNLO~1\WINZIP~1\winzip32.exe
C:\DOKUME~1\Tobias\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Startup: Ulead Photo Express Calendar Checker für Meine Spezielle Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Meine Spezielle Edition\CalCheck.exe
O4 - Global Startup: Ulead Photo Express Calendar Checker für Meine Spezielle Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Meine Spezielle Edition\CalCheck.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll

Dass sich die Liste verkürzt hat, werte ich einfach mal als gutes Zeichen !

Gruss,
Tobias

Hallo mico,

gratuliere, Dein Logfile sieht sauber aus .... aber alle Probleme sind noch nicht behoben!

Zitat:

(1) EScan: alle gefundenen "infected" gelöscht (4 der Dateien waren aber nicht zu finden).

"Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren" ... nun sollten diese 4 Dateien zu sehen und zu löschen sein. Denk bitte dran, dass Du alle Malware bei deaktivierter Systemwiederherstellung löschen mußt!

Zitat:

(3) Cleaner Tool: Welcher Cleaner genau? Habe W32.Lovsan - MBlaster vermutet, gedownloadet, aber keinen Virus entdeckt.

Anti W32.Lovsan - MBlaster .. passt scho ;-)

Bitte update den eScan online und scanne damit nocheinmal Deinen Rechner im abgesicherten Modus offline. Teile uns das Ergebnis mit.

SD

Hallo SD,

das hört sich gut an. Habe nochmals mit Escan gesucht (Auswertung s.u.).
Kann man "not-a-virus" als bedenkenlos einstufen oder handelt es sich hierbei um dem Programm unbekannte Dateien? Problem: Die "infected" Dateien waren auch bei geänderter Ansicht nicht zu finden (weder Suchfunktion noch manuell). Wie kann das sein?

Danke & Gruss
Tobias

File C:\Programme\Downloads\DivX 5.0\DivXPro5GAINBundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\d_tony4.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\d_tony4.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\d_tony4.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.3\d_tony4.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.
File C:\explorer.cab infected by "Trojan.Win32.Dialer.eb" Virus. Action Taken: No Action Taken.
File C:\Recycled\Dc1.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Recycled\Dc2.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Recycled\Dc3.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Hallo mico,

Zitat:

Zitat von mico

Habe nochmals mit Escan gesucht (Auswertung s.u.).
Kann man "not-a-virus" als bedenkenlos einstufen

Es handelt sich um Dateien, die kein Virus sind, beispielsweise Adware oder dergleichen.

Zitat:

Zitat von mico

Problem: Die "infected" Dateien waren auch bei geänderter Ansicht nicht zu finden (weder Suchfunktion noch manuell). Wie kann das sein?

Für alle Einträge aus dem eScan Logfile im abgesicherten Modus, bei deaktivierter Systemwiederherstellung gilt: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!"

Zitat:

Zitat von mico

File C:\WINDOWS\Downloaded Program Files\d_tony4.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\d_tony4.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\d_tony4.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.3\d_tony4.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.

Vorsichtshalber auf Diskette sichern.

Dann wie oben beschrieben im abgesicherten Modus, bei deaktivierter Systemwiederherstellung löschen.

Lade Dir bitte Spybot-Search & Destroy 1.3 runter, scanne damit Deinen Rechner und lass noch vorhandene Probleme beheben. Poste ein neues Hijack This Logfile.

SD

Hallo Leute, bin ziemlich neu auf dem Terrain (wie mein Nick verrät) und brauche dringend eure Hilfe!

Ich hab auch diesen komischen Trojaner der mich daran hindert meinen "Arbeitsplatz" oder sonstige explorer zu öffnen.

hier ist mein Logfile, weiter weiß ich nicht was zu tun ist!
hab schon mal bisschen drin rum gemacht, hat nix genutzt...bin verzweifelt....HILFE



Logfile of HijackThis v1.98.2
Scan saved at 00:21:27, on 02.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\CTsvcCDA.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\MsPMSPSv.exe
D:\WINDOWS\System32\devldr32.exe
D:\Programme\Creative\SBLive2k\AudioHQ\AHQTB.EXE
D:\WINDOWS\System32\NILaunch.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\WINDOWS\System32\vpc32.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Messenger\msmsgs.exe
D:\WINDOWS\System32\rundll32.exe
D:\WINDOWS\Explorer.exe
D:\WINDOWS\system32\ntvdm.exe
D:\PROGRA~1\T-ONLINE\BSW3\ToDuCAlC.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Dokumente und Einstellungen\Hosseini\Desktop\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll
O2 - BHO: BHO Class - {CBEFB350-ED5B-4115-B846-C1041676B377} - D:\WINDOWS\System32\CustomIE32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Disc Detector] D:\Creative\ShareDLL\ctnotify.exe
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AudioHQ] D:\Programme\Creative\SBLive2k\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [Net-It Launcher] D:\WINDOWS\System32\NILaunch.exe
O4 - HKLM\..\Run: [DirectX] C:\WINDOWS\Backup\DirectX.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinInit] Win86.exe
O4 - HKLM\..\Run: [WinLogin] win32x.exe
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O8 - Extra context menu item: &Google Search - res://d:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://d:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://d:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://d:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099349672421
O17 - HKLM\System\CCS\Services\Tcpip\..\{91934EDC-0A43-4602-B2B1-E7A889E9EB76}: NameServer = 217.237.151.161 217.237.151.33

Hallo trottel ,

Dein Windows ist nicht auf dem neuesten Stand. Update es hier. SP2 braucht man nicht unbedingt, aber alle anderen Windows-Updates sind wichtig!!!

Zu deinem log:

Starte im abgesicherten Modus (Neustart - F8 drücken, bevor das Windows-Logo erscheint) und deaktiviere die Systemwiederherstellung (Arbeitsplatz - rechte Maustaste, Systemwiederherstellung, Häkchen rein).

Folgende Einträge solltest du fixen:

D:\WINDOWS\System32\vpc32.exe

O4 - HKLM\..\Run: [DirectX] C:\WINDOWS\Backup\DirectX.exe

O4 - HKLM\..\Run: [WinInit] Win86.exe

O4 - HKLM\..\Run: [WinLogin] win32x.exe

O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe

O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe

O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe

Folgende Einträge solltest du fixen, wenn du das Programm/ die Website nicht kennst:

D:\WINDOWS\System32\NILaunch.exe

F2 - REG:system.ini: Shell=Explorer.exe

O2 - BHO: BHO Class - {CBEFB350-ED5B-4115-B846-C1041676B377} - D:\WINDOWS\System32\CustomIE32.dll

Danach wieder in den normalen Modus starten und Systemwiederherstellung aktivieren.

@PCtrottel
der hier ist im System, für mich Grund genug um das zu tun. Scanne trotzdem deinen PC vorher mal mit eScan im abgesicherten Modus um sicherzugehen. Shadowdance hat hier einen schönen Post zum Rbot erstellt.