Hi,

nachdem auf meinen aktualisierten Log (heute ca. 14h) keiner geantwortet hat, hier nochmals der aktuelle Scan, mit der Bitte, ihn durchzusehen:

Logfile of HijackThis v1.98.2
Scan saved at 20:10:43, on 18.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINXP\System32\smss.exe
D:\WINXP\system32\winlogon.exe
D:\WINXP\system32\services.exe
D:\WINXP\system32\lsass.exe
D:\WINXP\system32\svchost.exe
D:\WINXP\System32\svchost.exe
D:\WINXP\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Anwendungen\System\Sicherheit\Anti Virus\Norton Anti Virus\navapsvc.exe
D:\Anwendungen\System\Sicherheit\Anti Virus\Norton Anti Virus\IWP\NPFMntor.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
D:\WINXP\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINXP\system32\fxssvc.exe
D:\Anwendungen\System\Sicherheit\Anti Virus\Norton Anti Virus\SAVScan.exe
D:\WINXP\Explorer.EXE
D:\WINXP\system32\wscntfy.exe
D:\Anwendungen\Hardware\Treiber\Logitech Cordless Desktop\iTouch\iTouch.exe
D:\Programme\Microsoft Hardware\Mouse\point32.exe
D:\WINXP\system32\atiptaxx.exe
D:\Anwendungen\Multimedia\Dokumente\OCR\Omnipage\Opware12.exe
D:\WINXP\Twain_32\FlatBed\HotKey.exe
D:\Anwendungen\Internet\Download\Overnet\Overnet.exe
D:\anwendungen\multimedia\Player\QuickTime\qttask.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\WINXP\system32\ctfmon.exe
D:\anwendungen\hardware\Mobile Geräte\PDA\ActiveSync\WCESCOMM.EXE
D:\Anwendungen\Multimedia\Viewer\Nikon View\NkvMon.exe
D:\Anwendungen\Edutainment\Sprachen\Französisch\iFinger\iFinger.exe
D:\Anwendungen\Multimedia\Dokumente\Acrobat\Distillr\acrotray.exe
D:\Anwendungen\Multimedia\Viewer\Suitcase\Suitcase.exe
D:\WINXP\System32\msiexec.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Messenger\msmsgs.exe
E:\Anwendungen\System\Sicherheit\Anti\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.heise.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Anwendungen\Multimedia\Dokumente\Acrobat\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: iFinger - {1624F640-49AC-11D3-8ABD-00C04FA95EE0} - D:\Anwendungen\Edutainment\Sprachen\Französisch\iFinger\iFingerBHO.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Anwendungen\Multimedia\Dokumente\Acrobat\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Anwendungen\System\Sicherheit\Anti Virus\Norton Anti Virus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Anwendungen\Multimedia\Dokumente\Acrobat\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Anwendungen\System\Sicherheit\Anti Virus\Norton Anti Virus\NavShExt.dll
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Anwendungen\Hardware\Treiber\Logitech Cordless Desktop\iTouch\iTouch.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINXP\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Opware12] "D:\Anwendungen\Multimedia\Dokumente\OCR\Omnipage\Opware12.exe"
O4 - HKLM\..\Run: [HotKey] D:\WINXP\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lion] D:\Anwendungen\Edutainment\Sprachen\Englisch\LION\lion.exe
O4 - HKLM\..\Run: [Overnet] D:\Anwendungen\Internet\Download\Overnet\Overnet.exe -t
O4 - HKLM\..\Run: [QuickTime Task] "D:\anwendungen\multimedia\Player\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Win32 Explorer] D:\WINXP\system32\explorer32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\anwendungen\hardware\Mobile Geräte\PDA\ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Win32 Explorer] D:\WINXP\system32\explorer32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Anwendungen\Verwaltung\Organisation\Microsoft Project\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = D:\Anwendungen\Multimedia\Viewer\Nikon View\NkvMon.exe
O4 - Global Startup: iFinger.lnk = ?
O4 - Global Startup: Acrobat Assistant.lnk = D:\Anwendungen\Multimedia\Dokumente\Acrobat\Distillr\acrotray.exe
O4 - Global Startup: Suitcase Startup.lnk = ?
O8 - Extra context menu item: &Google Search - res://d:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://d:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OFFICE~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://d:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://d:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\anwendungen\hardware\Mobile Geräte\PDA\ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\anwendungen\hardware\Mobile Geräte\PDA\ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\anwendungen\hardware\Mobile Geräte\PDA\ActiveSync\inetrepl.dll
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - D:\WINXP\System32\SHDOCVW.DLL
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096538391022

Danke für Eure Hilfe,
Martin

@Martin
dieser hier ist im system
http://securityresponse.symantec.com...r.fraggle.html
http://www.sophos.de/virusinfo/analy...startpamn.html

ich kann dir nur raten dein system neu auf zu setzen, da es jetzt wohl als kompromittiert an zu sehen ist.
http://www.mathematik.uni-marburg.de...ompromise.html
ändere nach dem neu aufsetzen unbedingt deine passwörter
chaosman

ups, da war jemand schneller, ok, ich denke, der erfahrene benutzer hat die erfahrung... formatieren ist das sicherste, dann ist alles weg, wenn du nur die einträge fixt, ist man nie 100%ig sicher, ob nicht doch noch was da ist.


folgendes hat sich dann erledigt:

folgende einträge fixen (im abgesicherten modus, dazu neustart, vor erscheinen des windows-logos F8 drücken) und systemwiederherstellung deaktivieren (arbeitsplatz, rechte maustaste, eigenschaften, systemwiederherstellung, häkchen setzen)

O4 - HKLM\..\Run: [Win32 Explorer] D:\WINXP\system32\explorer32.exe

O4 - HKCU\..\Run: [Win32 Explorer] D:\WINXP\system32\explorer32.exe

O15 - Trusted Zone: *.windupdates.com

die anderen einträge, z.b. O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\anwendungen\hardware\Mobile Geräte\PDA\ActiveSync\inetrepl.dll

sind ja wohl von dir gewollt?

danach computer neu im normalmodus starten und die systemwiederherstellung wieder aktivieren.

kannst ja dein gefixtes log nochmal posten.

@ wattewuschel
Das Problem von Martin Berger liegt jetzt eigentlich nicht mehr in der Entfernung einzelner böser files, sondern darin, daß sein gesamtes System - ohne daß es ihm zwingend gleich auffallen muß - verändert sein dürfte. Deshalb sollte er schon den Tip von chaosman befolgen.

@cacatoa, ebend, drum schrieb ich ja meine ersten worte

Hallo Kollegen, hallo Martin Berger,

ich möchte gerne ganz sicher gehen und empfehle daher den eScan, online geupdatet, offline im abgesicherten Modus vorzunehmen, laut der Anweisung im Link.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." Erstelle ein neues Hijack This Logfile und poste es.

SD

[edit] siehe auch: 8558 [/edit]