Hallo,

ich hab ein Problem mit dem im Titel benannten trojanischem Pferd. Es beeinträchtigt meine Internetgeschwindigkeit beträchtlich und ruft automatisch Seiten auf die ich zuvor nie eingegeben habe.

Zur Abhilfe habe ich mir HijackThis runtergeladen und eine log Datei erstellt, welche ich mit Hilfe von der Seite "http://www.hijackthis.de/index.php" ausgewertet habe. Dabei habe ich alle Meldungen befolgt, jedoch taucht das Problem dennoch wieder auf!

Daher wende ich mich nochmal an dieses Forum und poste meine Log in der Hoffnung, dass Ihr vielleicht noch was findet, was die hijackthis.de/index seite nicht identifizieren konnte.

Hier meine Log.

Logfile of HijackThis v1.98.2
Scan saved at 14:01:16, on 17.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\System32\msconfig.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe
C:\Programme\Apoint2K\Apntex.exe
C:\PROGRA~1\Teledat\WCOM\SYSTEM\ADBSERV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\RVSRmd.exe
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Dokumente und Einstellungen\Böhme Pannes\Eigene Dateien\Meine empfangenen Dateien\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [msdev] msconfig.exe
O4 - HKLM\..\RunServices: [msdev] msconfig.exe
O4 - HKLM\..\RunOnce: [msdev] msconfig.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msdev] msconfig.exe
O4 - HKCU\..\RunOnce: [CommCenter] "C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe"
O4 - HKCU\..\RunOnce: [msdev] msconfig.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE


Vielen Dank für Eure Hilfe im Vorraus!

Gruß
tunguy

Hallo


Also dein log sieht soweit sauber aus!

Nur die datei ist unbekannt
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE

Las sie bitte mal auf Maleware überprüfen und poste das ergebnis hier wieder!
http://virusscan.jotti.dhs.org

Und du solltest dein system auf sp2 updaten

Hallo nochmal,

vielen Dank für die schnelle Antwort!! habe die Datei mal prüfen lassen..Ich kopiere mal das Ergebnis:

Service load: 0% 100%

File: DevDetect.exe
Status: OK
Packers detected: None

AntiVir No viruses found (0.14 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.34 seconds taken)
ClamAV No viruses found (0.33 seconds taken)
Dr.Web No viruses found (0.51 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus No viruses found (0.58 seconds taken)
mks_vir No viruses found (0.20 seconds taken)
NOD32 No viruses found (0.37 seconds taken)
Norman Virus Control No viruses found (0.85 seconds taken)

Statistics
Last piece of malware found was Trojan.Win32.StartPage.fw in rpcnt4.dll, detected by:

Scanner Malware name Time taken
AntiVir X 0.14 seconds
Avast X 1.51 seconds
BitDefender Trojan.StartPage.FW 0.33 seconds
ClamAV X 0.31 seconds
Dr.Web Trojan.StartPage.192 0.48 seconds
F-Prot Antivirus W32/Startpage.EV 0.06 seconds
Kaspersky Anti-Virus Trojan.Win32.StartPage.fw 0.59 seconds
mks_vir X 0.20 seconds
NOD32 X 0.35 seconds
Norman Virus Control X 0.12 seconds



Service statistics:

5494 files (4186 of those unique) have been uploaded & scanned since 05/11/2004, the day of the last database purge.
1272 of those 4186 files contained a virus or any other form of malware.
This page has been visited 12043 times in this time period.
This service managed to spot 82 pieces of malware no vendor used knew about at the time of uploading.
The service also warned against 538 suspicious files without any help from scanner results.
However, 39 files reported to be OK were found out to be malware later (this is checked daily).
As far as can be told, all this together makes this service 99.07% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism.
Most popular malware:

Rank Malware name Uploaded Last known filename
1 backdoor.sdbot.gen 123 times cvc.exe
2 backdoor.agobot.3.gen 58 times msvc32.exe
3 tr/drop.delf.fd.1 37 times FFF.SP2.Cleaner.v3.0.exe
4 tr/spam.avafx 34 times vbsys2.dll
5 tr/dldr.small.uv.3 32 times s1p1y.exe
6 backdoor.wootbot.gen 23 times Kopie van 1.exe.exe
7 trojan.downloader.inservice.i 23 times assassin-254.exe
8 win32:trojan-gen. {other} 22 times auto.exe
9 win32.p2p.spybot.gen 16 times svhost.exe
10 bds/beastdoor.205.a 16 times server.exe
11 win32.hllw.forbot.based 15 times winzipsys.exe
12 win32:trojan-gen. 15 times cia_upx.exe
13 backdoor.win32.agobot.gen 15 times ges.exe
14 trojan.downloader.zlob.d 14 times a1-search.zip
15 win32.hllw.mybot.based 14 times iexplore.exe.mwt


Vielen Dank nochmal!!
Gruss
Tunguy

Das ist gut !

Kennst du die datei?

Ja die Datei ist von dem Programm ACD See.. Zumindest ist sie in dem Verzeichnis. "Gerätedetektor" steht da.

dann ist ok

Ich kann in deinem log nichts auffälliges erkennen

Du solltest aber auf sp2 updaten

und wenn du sicher sein willst das du keinen virus hast lad dir
hier
escan runter und folge der anleitung.

Scannen mußt du im abgesicherten modus und du mußt scan all files und scan all local drives aktivieren