Logfile of HijackThis v1.98.2
Scan saved at 08:29:38, on 19.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Works\WksSb.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\martina\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mfuchsairbrush.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.com/b1redirect
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1&1 Internet AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\martina\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.com/b1redirect
O17 - HKLM\System\CCS\Services\Tcpip\..\{3254A8FE-C146-4CE9-81E7-B360A19A9DFA}: NameServer = 217.237.150.141 217.237.150.97


So da ist das neue...halt, das wurde nicht im abgesicherten Modus gemacht.....das war glaub ich falsch.....muss nochmal, oder ????

Nina

Hallo Nina,

die Hijack This Logfiles sollen - normalerweise - nicht aus dem abgesicherten Modus gemacht worden.

Bitte überprüfe mit virusscan.jotti.dhs.org:

C:\Programme\Microsoft Works\WksSb.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe

teile uns das Ergebnis der Überprüfung mit

Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken), wenn Du diese Einträge nicht kennst/brauchst:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.mfuchsairbrush.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.1und1.com/b1redirect

boote in den normalen Modus. Aktiviere die Systemwiederherstellung.
Sind Deine Probleme nun behoben?

SD

Danke erst mal.....
was passiert eigentlich, wenn ich die beiden Einträge lösche...die brauch ich doch.....ist meine Homepage www.mfuchsairbrus.de und der andere Eintrag ist mein Internetzugang...

wenn ich die rauslösche.....sind die dann weg....sorry, aber da hab ich keine Ahnung...

Nina....

Zitat:

Zitat von Nina

wenn ich die rauslösche.....sind die dann weg....sorry, aber da hab ich keine Ahnung...

Ja, aber die brauchst Du auch nicht unbedingt löschen. Wenn doch, kannst Du natürlich in den Optionen des IE eine neue Startseite vergeben.

Gruß
Yopie

...alson ich habe mit clearProg alles gelöscht, im abgesicherten Modus gestartet, den Virenscanner durchlaufen lassen und erstmal hat er keinen Trojaner mehr gemeldet.....

Hoffe dass er raus ist...wenn nicht melde ich mich nochmal...

Vielen....vielen Dank den Helfern......Nina..

ach einer ist noch da, nämlich in der....
File C:\DOKUME~1\martina\LOKALE~1\Temp\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.


WIE UND WO MUSS ICH DEN SUCHEN......???????????????

@ Nina

Zitat:

Zitat von Nina

ach einer ist noch da, nämlich in der....
File C:\DOKUME~1\martina\LOKALE~1\Temp\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.


WIE UND WO MUSS ICH DEN SUCHEN......???????????????

gewöhne Dir an, das clearProg einmal tglich anzuwenden, entweder beim aufstarten des Rechners oder vor dem runterfahren. Finke alle Ordner beim IE an und lösche dann den Inhalt der Ordner TEMP, Temporary Internet Files , Cookies, Cache und Verlauf. Damit ist dann auch der Ordner "C:\DOKUME~1\martina\LOKALE~1\Temp" gemeint .. leere ihn mit dem ClearProg und Du bist den Trojaner los.

Und hier ein paar Tips von Cidre zum durcharbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Entfernung von Schädlingen und Kompromittierung unvermeidbar?

SD

Vielen Dank,
habe alles mal durchgearbeitet und werde morgen nochmal escannen.......

dann schaun wer mal....

Supi, dass es euch gibt....was würden wir da nur tun.... .... .... ....

Nina