Hallo,

ich hab ein Problem mit dem im Titel benannten trojanischem Pferd. Es beeinträchtigt meine Internetgeschwindigkeit beträchtlich und ruft automatisch Seiten auf die ich zuvor nie eingegeben habe.

Zur Abhilfe habe ich mir HijackThis runtergeladen und eine log Datei erstellt, welche ich mit Hilfe von der Seite "http://www.hijackthis.de/index.php" ausgewertet habe. Dabei habe ich alle Meldungen befolgt, jedoch taucht das Problem dennoch wieder auf!

Daher wende ich mich nochmal an dieses Forum und poste meine Log in der Hoffnung, dass Ihr vielleicht noch was findet, was die hijackthis.de/index seite nicht identifizieren konnte.

Hier meine Log.

Logfile of HijackThis v1.98.2
Scan saved at 14:01:16, on 17.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\System32\msconfig.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe
C:\Programme\Apoint2K\Apntex.exe
C:\PROGRA~1\Teledat\WCOM\SYSTEM\ADBSERV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\RVSRmd.exe
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Dokumente und Einstellungen\Böhme Pannes\Eigene Dateien\Meine empfangenen Dateien\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [msdev] msconfig.exe
O4 - HKLM\..\RunServices: [msdev] msconfig.exe
O4 - HKLM\..\RunOnce: [msdev] msconfig.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msdev] msconfig.exe
O4 - HKCU\..\RunOnce: [CommCenter] "C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe"
O4 - HKCU\..\RunOnce: [msdev] msconfig.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE


Vielen Dank für Eure Hilfe im Vorraus!

Gruß
tunguy

Hallo


Also dein log sieht soweit sauber aus!

Nur die datei ist unbekannt
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE

Las sie bitte mal auf Maleware überprüfen und poste das ergebnis hier wieder!
http://virusscan.jotti.dhs.org

Und du solltest dein system auf sp2 updaten

Hallo nochmal,

vielen Dank für die schnelle Antwort!! habe die Datei mal prüfen lassen..Ich kopiere mal das Ergebnis:

Service load: 0% 100%

File: DevDetect.exe
Status: OK
Packers detected: None

AntiVir No viruses found (0.14 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.34 seconds taken)
ClamAV No viruses found (0.33 seconds taken)
Dr.Web No viruses found (0.51 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus No viruses found (0.58 seconds taken)
mks_vir No viruses found (0.20 seconds taken)
NOD32 No viruses found (0.37 seconds taken)
Norman Virus Control No viruses found (0.85 seconds taken)

Statistics
Last piece of malware found was Trojan.Win32.StartPage.fw in rpcnt4.dll, detected by:

Scanner Malware name Time taken
AntiVir X 0.14 seconds
Avast X 1.51 seconds
BitDefender Trojan.StartPage.FW 0.33 seconds
ClamAV X 0.31 seconds
Dr.Web Trojan.StartPage.192 0.48 seconds
F-Prot Antivirus W32/Startpage.EV 0.06 seconds
Kaspersky Anti-Virus Trojan.Win32.StartPage.fw 0.59 seconds
mks_vir X 0.20 seconds
NOD32 X 0.35 seconds
Norman Virus Control X 0.12 seconds



Service statistics:

5494 files (4186 of those unique) have been uploaded & scanned since 05/11/2004, the day of the last database purge.
1272 of those 4186 files contained a virus or any other form of malware.
This page has been visited 12043 times in this time period.
This service managed to spot 82 pieces of malware no vendor used knew about at the time of uploading.
The service also warned against 538 suspicious files without any help from scanner results.
However, 39 files reported to be OK were found out to be malware later (this is checked daily).
As far as can be told, all this together makes this service 99.07% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism.
Most popular malware:

Rank Malware name Uploaded Last known filename
1 backdoor.sdbot.gen 123 times cvc.exe
2 backdoor.agobot.3.gen 58 times msvc32.exe
3 tr/drop.delf.fd.1 37 times FFF.SP2.Cleaner.v3.0.exe
4 tr/spam.avafx 34 times vbsys2.dll
5 tr/dldr.small.uv.3 32 times s1p1y.exe
6 backdoor.wootbot.gen 23 times Kopie van 1.exe.exe
7 trojan.downloader.inservice.i 23 times assassin-254.exe
8 win32:trojan-gen. {other} 22 times auto.exe
9 win32.p2p.spybot.gen 16 times svhost.exe
10 bds/beastdoor.205.a 16 times server.exe
11 win32.hllw.forbot.based 15 times winzipsys.exe
12 win32:trojan-gen. 15 times cia_upx.exe
13 backdoor.win32.agobot.gen 15 times ges.exe
14 trojan.downloader.zlob.d 14 times a1-search.zip
15 win32.hllw.mybot.based 14 times iexplore.exe.mwt


Vielen Dank nochmal!!
Gruss
Tunguy

Das ist gut !

Kennst du die datei?

Ja die Datei ist von dem Programm ACD See.. Zumindest ist sie in dem Verzeichnis. "Gerätedetektor" steht da.

dann ist ok

Ich kann in deinem log nichts auffälliges erkennen

Du solltest aber auf sp2 updaten

und wenn du sicher sein willst das du keinen virus hast lad dir
hier
escan runter und folge der anleitung.

Scannen mußt du im abgesicherten modus und du mußt scan all files und scan all local drives aktivieren

Vielen Dank nochmals für die nette Hilfe,
ich werde mal gucken ob das Problem nun endlich gelöst ist. Werde mich melden wenn es doch hartnäckiger ist als ich dachte..

Gruß
tunguy

Hallo.. ich bin es wieder. Leider ist das Problem erneut aufgetaucht..
ich poste nochmal ein neues Log.

Logfile of HijackThis v1.98.2
Scan saved at 15:57:07, on 18.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Böhme Pannes\Eigene Dateien\Meine empfangenen Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [msdev] msconfig.exe
O4 - HKLM\..\Run: [msconfig.exe] C:\WINDOWS\uline.exe
O4 - HKLM\..\Run: [msnmsgs.exe] C:\WINDOWS\sitebar.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [msdev] msconfig.exe
O4 - HKLM\..\RunOnce: [msdev] msconfig.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: CAPIControl.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE


Ich verzweifle langsam..

Gruß
tunguy

@ tunguy,

dann befolgen wir eben ZERO's letzten Tip .. mit anderen Worten ;-)

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

SD

Guten Abend!

Leider konnte ich dieses leidige Problem noch immer nicht lösen. Nachdem ich die Logs hier gepostet habe und alle "bösen" einträge gefixt habe, sollte ich mit Hilfe des Programms "escan" den Rechner nochmals auf restliche Viren prüfen. Die Problematik dabei ist, das sobald ich eine Internetverbindung aufbauen möchte, diese Virus/Trojaner Warnung wieder auftaucht, obwohl ich alles gefixt habe was "böse" ist.

Somit kann ich das Virenprogramm "escan" nicht updaten und danach laufenlassen.
Meine Frage: Gibt es eine Möglichkeit das Programm auf einen anderen Rechner upzudaten, dann auf cd zu brennen und dann auf dem infizierten Rechner laufen zu lassen?

Vielleicht gibt es auch eine andere, unkompliziertere Möglichkeit diese hartnäckigen Trojaner und Viren los zu werden?

Gruß
tunguy

@ tunguy

Zitat:

Zitat von tunguy

Meine Frage: Gibt es eine Möglichkeit das Programm auf einen anderen Rechner upzudaten, dann auf cd zu brennen und dann auf dem infizierten Rechner laufen zu lassen?

Das ist selbstverständlich möglich, wenn Du einen zweiten Rechner hast und CD's brennen kannst .. oder jemanden aus dem Bekanntenkries, der dies für Dich tut.

Zitat:

Zitat von tunguy

Vielleicht gibt es auch eine andere, unkompliziertere Möglichkeit diese hartnäckigen Trojaner und Viren los zu werden?

Leider nein, vorallem wissen wir nicht, welche Malware Du auf dem System hast. Das heisst, ja es gibt eine Möglichkeit: formatieren und die Tips von Cidre und Lutz beachten:

Lutz' Datensicherung und Cidre, hier zitiert:

Setze das System neu auf, da dies nicht mehr vertrauenswürdig ist.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

SD

Hallo,
ich habe nochmal eine Log erstellt. könntet ihr mir diese nochmal auswerten bitte?
Danke:

Logfile of HijackThis v1.98.2
Scan saved at 11:37:59, on 23.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\WINDOWS\System32\msconfig.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe
C:\PROGRA~1\Teledat\WCOM\SYSTEM\ADBSERV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\RVSRmd.exe
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\TEMP\steam.exe
C:\WINDOWS\TEMP\mirc.exe
C:\WINDOWS\upx.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\rpc.exe
C:\WINDOWS\System32\realplay.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Böhme Pannes\Eigene Dateien\Meine empfangenen Dateien\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [msdev] msconfig.exe
O4 - HKLM\..\Run: [msconfig.exe] C:\WINDOWS\uline.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [winlogin.exe] C:\WINDOWS\TEMP\steam.exe
O4 - HKLM\..\Run: [taskmgr.exe] C:\WINDOWS\TEMP\mirc.exe
O4 - HKLM\..\Run: [notepad.exe] C:\WINDOWS\upx.exe
O4 - HKLM\..\Run: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\Run: [Realplayer One] realplay.exe
O4 - HKLM\..\RunServices: [msdev] msconfig.exe
O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\RunServices: [Realplayer One] realplay.exe
O4 - HKLM\..\RunOnce: [msdev] msconfig.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msdev] msconfig.exe
O4 - HKCU\..\RunOnce: [CommCenter] "C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe"
O4 - HKCU\..\RunOnce: [msdev] msconfig.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE



gruß
tunguy

@tunguy
aufgrund der aktiven Backdoors (-> http://www.sophos.de/virusinfo/analyses/w32rbotnk.html)
solltest du Cidres Rat befolgen.

Also das System neu aufzusetzen wäre wirklich das allerletzte was ich tun würde. Ist es wirklich schon so schlimm, das es wirklich keine andere Möglichkeit mehr gibt?
also escan hab ich nun auch schon durchlaufen lassen..und er hat mir leider 64 Meldungen ausgespuckt.........

Gruß
tunguy

Zitat:

Also das System neu aufzusetzen wäre wirklich das allerletzte was ich tun würde. Ist es wirklich schon so schlimm, das es wirklich keine andere Möglichkeit mehr gibt?
also escan hab ich nun auch schon durchlaufen lassen..und er hat mir leider 64 Meldungen ausgespuckt.........

Was hat er denn gefunden? Ich schätze mal auch einige Backdoors und da ist formatieren die einzig vernünftige Lösung. Post mal was gefunden wurde.
PS: die Loginfo bekommst du so:

Zitat:

"öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen (Cidre)