Vieren? Trojaner? Spy? Hilfeeee!!!

Mitas · 25.09.2004, 16:50

Hilfe,
kann mir jemand helfen?
Ich habe mir ein paar üble Prozesse eingefangen und bekomme sie nicht mehr los.
!!!!!!!Ausserdem habe ich im Virenscanner die Meldung über rundlg32.dll die sich nicht löschen lässt!!!!!!
Schon mal danke

Gruss Mitas

Logfile of HijackThis v1.98.2
Scan saved at 17:42:54, on 25.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\System32\BacsTray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\System32\golumm\services.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\nfa?z.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\The Bat!\thebat.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Matt\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 50.dll (file missing)
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA880F} - C:\WINDOWS\EliteBar\EliteBar version 50.dll (file missing)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [bacstray] BacsTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\netda.exe
O4 - HKLM\..\Run: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [golumm] C:\WINDOWS\System32\golumm\services.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nnefmaihosx] C:\WINDOWS\System32\wdnopu.exe
O4 - HKLM\..\Run: [Sys29] C:\windows\system32\winjel32.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Iwaa] C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\nfa?z.exe
O4 - HKCU\..\Run: [sysinit] C:\WINDOWS\System32\golumm\services.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: The Bat! Email.lnk = C:\Programme\The Bat!\thebat.exe
O9 - Extra button: Corel Network monitor worker - {0270370C-2F87-4CAE-BDD9-730A5D5189D8} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {0270370C-2F87-4CAE-BDD9-730A5D5189D8} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Corel Network monitor worker - {0270370C-2F87-4CAE-BDD9-730A5D5189D8} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {0270370C-2F87-4CAE-BDD9-730A5D5189D8} - (no file) (HKCU)
O15 - Trusted Zone: mobil.atmosmed.de
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: v2cab - http://5473.searchmiracle.com/cab/v2cab.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...7510b28ebf1261
O16 - DPF: {22D9D7B7-C4F6-5FD0-A4D5-677473D64B0D} - http://69.50.188.54/1/gdnDE208.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {5A48EA97-1826-6EDA-4FA9-06131C1C78DE} - http://69.50.188.54/1/gdnDE208.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095789883474
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{44F05D85-E955-4B58-A830-5B28C14E1948}: NameServer = 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{BEA861B0-997C-4525-9165-1986C654474D}: NameServer = 212.18.3.5 212.18.0.5
O21 - SSODL: System - {C259308B-DC41-44EB-9F7B-D16F1BF50B3A} - C:\WINDOWS\system32\system32.dll (file missing)

25.09.2004, 18:01

Fixe mit HijackThis dies:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
R3 - Default URLSearchHook is missing
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 50.dll (file missing)
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA880F} - C:\WINDOWS\EliteBar\EliteBar version 50.dll (file missing)
O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\netda.exe
O4 - HKLM\..\Run: [golumm] C:\WINDOWS\System32\golumm\services.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKCU\..\Run: [Iwaa] C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\nfa?z.exe
O4 - HKCU\..\Run: [sysinit] C:\WINDOWS\System32\golumm\services.exe
O9 - Extra button: Corel Network monitor worker - {0270370C-2F87-4CAE-BDD9-730A5D5189D8} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {0270370C-2F87-4CAE-BDD9-730A5D5189D8} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Corel Network monitor worker - {0270370C-2F87-4CAE-BDD9-730A5D5189D8} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {0270370C-2F87-4CAE-BDD9-730A5D5189D8} - (no file) (HKCU)
O15 - Trusted Zone: mobil.atmosmed.de
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: v2cab - http://5473.searchmiracle.com/cab/v2cab.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...510b28ebf126 1
O16 - DPF: {22D9D7B7-C4F6-5FD0-A4D5-677473D64B0D} - http://69.50.188.54/1/gdnDE208.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/...bin/AvSniff.cab
O16 - DPF: {5A48EA97-1826-6EDA-4FA9-06131C1C78DE} - http://69.50.188.54/1/gdnDE208.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...b?1095789883474
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe....all/Xscan53.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab
O21 - SSODL: System - {C259308B-DC41-44EB-9F7B-D16F1BF50B3A} - C:\WINDOWS\system32\system32.dll (file missing)

Anschließend lösche diese Ordner bzw. Dateien:
C:\Program Files\Windows SyncroAd\SyncroAd.exe
"C:\Programme\Web_Rebates

Danach scanne mal im abgesicherten Modus mit eScan:
http://www.trojaner-board.de/showthread.php?t=6083
Welche Dateien wurden gelöscht?

Dann erstelle und poste ein neues Log von HijackThis.

Wichtig: Falls du nicht mit DSL ins Internet gehst, solltest du diesen illegalen Dialer http://69.50.188.54/1/gdnDE208.exe vor dem Scan mit eScan auf Diskette für evtl. Beweiszwecke sichern.

Du solltest auch das SP2 für XP nachladen.

Mitas · 25.09.2004, 21:08

Hallo, erstmal vielen Dank für die schnelle Hilfe.
Habe alles gemacht wie beschrieben.

nun folgender hijackthis

ogfile of HijackThis v1.98.2
Scan saved at 22:07:12, on 25.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\The Bat!\thebat.exe
C:\Dokumente und Einstellungen\Matt\Lokale Einstellungen\Temp\Temporäres

Verzeichnis 4 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.yahoo.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet

Settings,ProxyServer = 10o.0.0.4:80
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control

Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame

Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec

Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check]

C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe"

+c
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec

Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft

Office\Office\OSA9.EXE
O4 - Global Startup: The Bat! Email.lnk = C:\Programme\The Bat!\thebat.exe
O15 - Trusted Zone: mobil.atmosmed.de
O17 -

HKLM\System\CCS\Services\Tcpip\..\{44F05D85-E955-4B58-A830-5B28C14E1948}:

NameServer = 194.25.2.129

Mitas · 25.09.2004, 21:19

................ und die Meldungen bei escan

0x0000055c] 25/09/2004 21:16:32:916 :[msvLclnt.dll][00000001] File C:\WINDOWS\localNRD.dll infected by not-a-virus:AdvWare.BiSpy.n
[0x0000055c] 25/09/2004 21:16:32:946 :[msvLclnt.dll][00000001] File C:\WINDOWS\localNRD.dll infected by not-a-virus:AdvWare.BiSpy.n
[0x0000055c] 25/09/2004 21:16:49:529 :[msvLclnt.dll][00000001] File C:\WINDOWS\System32\bH.dll infected by not-a-virus:AdvWare.BiSpy.b
[0x0000055c] 25/09/2004 21:16:49:680 :[msvLclnt.dll][00000001] File C:\WINDOWS\System32\bH.dll infected by not-a-virus:AdvWare.BiSpy.b
[0x0000055c] 25/09/2004 21:18:21:151 :[msvLclnt.dll][00000001] File C:\WINDOWS\System32\SHAgentNew.dll infected by not-a-virus:AdvWare.ShopAtHome.b
[0x0000055c] 25/09/2004 21:18:21:181 :[msvLclnt.dll][00000001] File C:\WINDOWS\System32\SHAgentNew.dll infected by not-a-virus:AdvWare.ShopAtHome.b
[0x0000055c] 25/09/2004 21:19:37:281 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Branka\Lokale Einstellungen\Temp\_update.dat infected by TrojanSpy.Win32.Agent.l
[0x0000055c] 25/09/2004 21:19:37:291 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Branka\Lokale Einstellungen\Temp\_update.dat infected by TrojanSpy.Win32.Agent.l
[0x0000055c] 25/09/2004 21:20:19:742 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\BlackBox.class-298c2e55-1f66509a.class infected by Exploit.JS.ScriptSrc.a
[0x0000055c] 25/09/2004 21:20:19:752 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\BlackBox.class-298c2e55-1f66509a.class infected by Exploit.JS.ScriptSrc.a
[0x0000055c] 25/09/2004 21:20:21:554 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\Dummy.class-2838fca1-547d730f.class infected by Trojan.Java.ClassLoader.Dummy.d
[0x0000055c] 25/09/2004 21:20:21:564 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\Dummy.class-2838fca1-547d730f.class infected by Trojan.Java.ClassLoader.Dummy.d
[0x0000055c] 25/09/2004 21:20:21:604 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\Dummy.class-63644d4e-1ca26296.class infected by Trojan.Java.ClassLoader.Dummy.d
[0x0000055c] 25/09/2004 21:20:21:614 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\Dummy.class-63644d4e-1ca26296.class infected by Trojan.Java.ClassLoader.Dummy.d
[0x0000055c] 25/09/2004 21:20:37:257 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3.jar-3c0efa2b-3749ae30.zip infected by Trojan.Java.ClassLoader.k
[0x0000055c] 25/09/2004 21:20:37:447 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3.jar-3c0efa2b-3749ae30.zip infected by Trojan.Java.ClassLoader.k
[0x0000055c] 25/09/2004 21:20:37:527 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3.jar-58581c27-5286f58b.zip infected by Trojan.Java.ClassLoader.k
[0x0000055c] 25/09/2004 21:20:37:547 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3.jar-58581c27-5286f58b.zip infected by Trojan.Java.ClassLoader.k
[0x0000055c] 25/09/2004 21:20:37:627 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3.jar-724f57b4-5362f47a.zip infected by Trojan.Java.ClassLoader.k
[0x0000055c] 25/09/2004 21:20:37:657 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3.jar-724f57b4-5362f47a.zip infected by Trojan.Java.ClassLoader.k
[0x0000055c] 25/09/2004 21:20:39:270 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\counter.jar-7271642a-1d005348.zip infected by Trojan.Java.ClassLoader.Dummy.d
[0x0000055c] 25/09/2004 21:20:39:290 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\counter.jar-7271642a-1d005348.zip infected by Trojan.Java.ClassLoader.Dummy.d
[0x0000055c] 25/09/2004 21:20:39:360 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\Counters.jar-40c65859-10966064.zip infected by Trojan.Java.Femad
[0x0000055c] 25/09/2004 21:20:39:380 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\Counters.jar-40c65859-10966064.zip infected by Trojan.Java.Femad
[0x0000055c] 25/09/2004 21:20:39:510 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\Counters.jar-4edb4b03-2eba8d1a.zip infected by Trojan.Java.Femad
[0x0000055c] 25/09/2004 21:20:39:530 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\Counters.jar-4edb4b03-2eba8d1a.zip infected by Trojan.Java.Femad
[0x0000055c] 25/09/2004 21:20:39:590 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\Counters.jar-6af29691-75c45003.zip infected by Trojan.Java.Femad
[0x0000055c] 25/09/2004 21:20:39:610 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\Counters.jar-6af29691-75c45003.zip infected by Trojan.Java.Femad
[0x0000055c] 25/09/2004 21:20:41:503 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv74.jar-170b188f-3c869a32.zip infected by TrojanDownloader.Java.OpenStream.c
[0x0000055c] 25/09/2004 21:20:41:513 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv74.jar-170b188f-3c869a32.zip infected by TrojanDownloader.Java.OpenStream.c
[0x0000055c] 25/09/2004 21:20:41:573 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv89.jar-190666b1-290fc25c.zip infected by TrojanDownloader.Java.OpenStream.c
[0x0000055c] 25/09/2004 21:20:41:583 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv89.jar-190666b1-290fc25c.zip infected by TrojanDownloader.Java.OpenStream.c
[0x0000055c] 25/09/2004 21:25:09:018 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Lokale Einstellungen\Temp\Patch222.exe infected by TrojanDropper.Win32.Agent.r
[0x0000055c] 25/09/2004 21:25:09:048 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Lokale Einstellungen\Temp\Patch222.exe infected by TrojanDropper.Win32.Agent.r
[0x0000055c] 25/09/2004 21:25:13:484 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Lokale Einstellungen\Temp\TMP257.tmp infected by TrojanSpy.Win32.Agent.l
[0x0000055c] 25/09/2004 21:25:13:504 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Matt\Lokale Einstellungen\Temp\TMP257.tmp infected by TrojanSpy.Win32.Agent.l

+ ca 100 weitere inQuarantine bei Norton Antivirus

chaosman · 25.09.2004, 21:31

@Mitas,

bei dieser menge bleibt wohl nur das system neu aufsetzen.
das dürfte am schnellsten gehen, und wäre am sichersten

gehe davon aus, das deine passwörter bekannt sind.

setze neu auf, unbedingt system updaten, eventuell surfverhalten überdenken

chaosman

25.09.2004, 23:47

Dein Log schaut nun schon einigermaßen sauber aus, aber eScan hat soviel noch gefunden ...

Dein System ist total verseucht. Möglicherweise ist es auch nach der Entfernung von den Backdoors in fremder Hand.

Ich schlage dies vor:

1.) Neu formatieren und installieren

2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen

3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren

4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org

5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren

6.) Den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder Firefox umsteigen
www.firefox-browser.de www.opera.com www.mozila.kairo.at
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)

8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können

9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen

10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten

Bitte vergesse nicht auf deinem NEUEN System sofort alle Passwörter zu ändern ! ! !

Vieren? Trojaner? Spy? Hilfeeee!!!

Log-Analyse und Auswertung: Vieren? Trojaner? Spy? Hilfeeee!!!