@ Nervking

Platform: Windows XP SP1 (WinNT 5.01.2600): besuche www.windowsupdate.com. Beachte, dass das Betriebssystem, der Browser, alle SchutzProgramme, sowie alle weitere Software stets auf dem aktuellen Stand sein muss, um einen Schutz darstellen zu können.

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren.

(kein Explorer Fenster darf jetzt mehr geöffnet sein, alles schliessen ausser Hijackthis) Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und Fix Checked klicken):

R3 - Default URLSearchHook is missing
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system32\defragfat32z.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://public.windupdates.com/get_f...818bc5bfdd9b511
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - h**p://jpedownload.joltid.com/wi/p2p.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - h**p://akamai.downloadv3.com/binari...thv32_EN_XP.cab
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - h**p://akamai.downloadv3.com/binaries/IA/ia_XP.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - h**p://secure2.comned.com/signuptem...iveSecurity.cab
O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - h**p://akamai.downloadv3.com/binari...tpe32_EN_XP.cab

wenn Du folgende Einträge nicht kennst/brauchst bitte fixen:

O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - h**p://www.ipswitch.com/_installs/wsftp_le/setup.exe

boote in den normalen Modus.

beende:

twink64.exe
defragfat32z.exe

lösche:

C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
C:\WINDOWS\system32\defragfat32z.exe

Aktiviere die Systemwiederherstellung,

Überprüfe mit virusscan.jotti.dhs.org:

C:\Program Files\Win Comm\WinComm.exe
C:\Programme\VIA\RAID\raid_tool.exe

--> Ergebnis?

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Der eScan ab Version 4.5.1 löscht gefundene Malware nicht, das wird manuell gemacht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es.

SD

bitte beachten:

ClearProg - Security-Tools - IE sicher konfigurieren - compromise

So jetzt habe ich 2 Stundend ran gehangen und bin überrascht und erschrocken...

Ich konnte zwar folgende Datei löschen:

C:\WINDOWS\System32\twink64.exe

Aber die internat.dll,LoadKeyboardProfile habe ich nicht finden können.
Die Datei:

C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
Gab es bei mir nicht aber sie nannte sich NPMYBAR.DLL , war es falsch Sie dennoch zu löschen?

Die folgende Url funktioniert irgendwie auch nicht also konnte ich das auch nicht ausführen!

[URL=http://virusscan.jotti.org/de]virusscan.jotti.dhs.org

C:\Program Files\Win Comm\WinComm.exe
C:\Programme\VIA\RAID\raid_tool.exe


Ich habe mir dann auch escan runtergeladen, leider ist es nur die 4.6.1 Version verfügbar und hat weitaus 81 Einträge gefunden. Nun weiss ich nicht ob ich alle manuell löschen muss :-( Ich poste einfach mal alle einträge die nicht in den Temporary Internet Files sind, das dürften weniger sein:


Sun Nov 07 14:30:44 2004 => File C:\WINDOWS\telnet.exe infected by "TrojanDropper.Win32.Agent.k" Virus. Action Taken: No Action Taken.
Sun Nov 07 14:35:02 2004 => File C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\proc.jar-579b8cc2-40cd939d.zip infected by "Exploit.Java.Bytverify" Virus. Action Taken
Sun Nov 07 14:59:57 2004 => File C:\RECYCLER\S-1-5-21-1177238915-602609370-839522115-1004\Dc81.exe infected by "Backdoor.Win32.Rbot.dc" Virus. Action Taken: No Action Taken.
Sun Nov 07 15:14:11 2004 => File C:\WINDOWS\telnet.exe infected by "TrojanDropper.Win32.Agent.k" Virus. Action Taken: No Action Taken.
Sun Nov 07 15:14:27 2004 => File C:\winhelp.chm infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.
Sun Nov 07 15:28:31 2004 => File F:\Programme\AVPersonal\INFECTED\A0048531.OCX.VIR infected by "TrojanDownloader.Win32.Holica.b" Virus. Action Taken: No Action Taken.
Hier sind auch die 2.meisten Einträge drin, das dürfte der Quarantäne-Ordner sein von dem Anti-Viren Programm.
Sun Nov 07 15:29:47 2004 => File F:\Programme\Kazaa\PerfectNavUninstall.exe infected by "TrojanDownloader.Win32.Keenval.e" Virus. Action Taken: No Action Taken.

Ich hoffe mal das ich keine vergessen habe!?
So hier nun die die andere Log:

Logfile of HijackThis v1.98.2
Scan saved at 15:44:27, on 07.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
F:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\system32\spoolsv.exe
F:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\Explorer.EXE
F:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
F:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Program Files\Win Comm\WinComm.exe
C:\WINDOWS\System32\rundll32.exe
F:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\ntvdm.exe
F:\T-ONLINE\BSW4\ToDuCAlC.EXE
F:\Programme\Avant Browser\avant.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Jens\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SmcService] F:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [AVSCHED32] F:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] F:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: RAID Tool.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - F:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Alles mit FlashGet laden - F:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Hervorheben - F:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Mit FlashGet laden - F:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Suchen - F:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - F:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - F:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - F:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - F:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099832199734
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{711E7418-AD0C-431F-83B9-F20E88AED220}: NameServer = 217.237.149.225 217.237.151.97

Ich hoffe das ich langsam sauberer werde? :-D

Kann mir bitte jemadn helfen? :-(

Meine Empfehlung:

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten

Auf dem neuen System alle Passwörter ändern.