Trojaner-Board - Kleines problem ganz groß

Trojaner-Board (https://www.trojaner-board.de/)

- Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)

- - Kleines problem ganz groß (https://www.trojaner-board.de/14177-kleines-problem-ganz-gross.html)

Kleines problem ganz groß

Folgendes problem:

1. Öffnen sich ständig vom Microsoft i net explorer in denen werbung, suchmaschinen und sonstiges autaucht obwohl ich Den Microsoft Explorer gelöscht habe und nur merh mit Mozilla Firefox surfe.

2. Öffnte sich ständig noch ein fenster,

regedit.exe - Fehler in Anwendung
Die anwendung konnte nicht richtig intialiesiert werden (0xc0000142) klicken sie auf "ok", um die Anwendung zu beenden-

Was meint der damit

Wenn ich regedit bei suchen eingebe findet der PC auch ncihts nichteinmal bei versteckte dateien oder so!!

3. Es kommt immer ein nachrichtendienst

Ein blaues fenster wo ganz oben nachrichrtendienst steht und immer neue messages von i-net seiten und so einfach so reinhaut!!

Mein PC ist durch diesen ganzen schramn ganz schön langsam geworden!!

Bitte liebe community helft mir

mfg jakob

zu 1:
du hast warscheinlich ad und spyware drauf. erstelle ein hijackthis log wie es auf http://www.trojaner-board.de/51130-a...ijackthis.html steht und poste es.

zu 2:
ich vermute das in die startup regedit.exe eingegeben ist (regedit ist das registrierungseditiorprogramm)

zu 3:
ein alt bekanntes problem. es gibt mehrere möglichkeiten es zu lösen:
-rechtsklick arbeitsplatz, verwalten, dienste
-rechtsklick auf nachrichtendienst, von "automatisch" auf "deaktiviert" stellen und auf stoppen klicken
-das ganze mit einem klick auf übernehmen und ok bestätigen

Nimm xp-AntiSpy und wähle die "empfohlene Einstellung" dann bist du schon mal einiges los.Das Prog ist selbsterklärend und für "nicht Experten" sehr hilfreich.

http://xp-antispy.org/index.php?opti...sellang&iso=de

@backup da muss ich dir widersprechen. auf den ersten blick sieht es einfach zu bedienen aus. fazit ist aber, dass man sich damit sein system versauen kann. wenn man nämlich den "regdone" vor der windows-aktivierung setzt, vergisst windows die 30 tage. ABER und das ist das problem, nach 30 tagen startet nicht mehr die aktivierung dafür geht windows nun auch nicht mehr (er wird starten, versuchen die aktivierung zu starten - fehlgeschlagen, windows wird heruntergefahren - ende)
dann kann man sich noch mehr versauen. da wäre auchnoch für den windows media player. "automatische codec-updates deaktivieren" jep, wenn derjenige dann was anhören will, wo er einen neuen codec runterladen muss, gibts schon mit dem WMP ärger..
dazu kommt noch das nette windows-update "automatische updates deaktivieren" - in der jetzigen viren und sicherheitslöcherzeit ist das mehr als schlecht für den gewöhnlichen homeuser. (der vermutlich auch keine zeit hat auf windows update zu klicken und sich die dinger mal manuell runterzuladen)
dann noch was nettes zum deregistrieren der dateien, die den gleichen effekt verursachen wie der regdone..

gesamtfazit also für das programm:
-wer sich nicht so gut auskennt mit windows sollte von dem programm die finger lassen um spätere probleme zu vermeiden.

C:\WINDOWS\ZServ.dll
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\2.bin\MYSRCHAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\3.bin\MYBAR.DLL
O2 - BHO: SafeGuard Protect PCShield - {564FFB73-9EEF-4969-92FA-5FC4A92E2C2A} - C:\WINDOWS\System32\KDP21e6.dll
O2 - BHO: Core Library - {F281FFC7-6C63-4bf9-83F2-AB7A6157B109} - C:\WINDOWS\System32\kdpupd.dll
O2 - BHO: (no name) - {FCD0D950-6CB9-6D4D-B3D9-626476D91BC3} - C:\WINDOWS\System32\theolyk.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\3.bin\MYBAR.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Multimedia keyboard utility\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\winupd.exe
O4 - HKLM\..\Run: [Aplune Service] svchosd.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [Settings] svchosd.exe
O4 - HKLM\..\Run: [Configuration Service] C:\WINDOWS\System32\suchost.exe
O4 - HKLM\..\Run: [Updates] svchosd.exe
O4 - HKLM\..\Run: [Microsoft Update Mechene] Updatez.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] btf.exe
O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\Run: [pathname] C:\WINDOWS\System32\pathname.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Default Operation] C:\WINDOWS\vhchost.exe
O4 - HKLM\..\Run: [Operating System Rescue] svchost.exe
O4 - HKLM\..\Run: [Default System Research] C:\WINDOWS\vhchost.exe
O4 - HKLM\..\Run: [ist service uninstall] C:\WINDOWS\mstasks2.exe /u
O4 - HKLM\..\Run: [Windows Update Software] C:\WINDOWS\System32\system.exe
O4 - HKLM\..\Run: [Software additions] C:\WINDOWS\winlogon.exe
O4 - HKLM\..\Run: [rn4d] C:\WINDOWS\System32\kolder.exe C:\WINDOWS\System32\dirote.exe
O4 - HKLM\..\Run: [dode] C:\WINDOWS\System32\WinScood.exe
O4 - HKLM\..\Run: [WinXPService] c:\windows\system32\Tskdbg.exe
O4 - HKLM\..\Run: [F4h3d] C:\WINDOWS\System32\F4h3d.exe
O4 - HKLM\..\Run: [blah Microsoft service] serbar.exe
O4 - HKLM\..\Run: [loaddll] C:\WINDOWS\System32\W1n32\maths.exe C:\WINDOWS\System32\W1n32\plug.exe
O4 - HKLM\..\Run: [EviL] byfy.exe
O4 - HKLM\..\Run: [Msgarey] c:\windows\system32\tega.exe
O4 - HKLM\..\Run: [sis12] C:\WINDOWS\System32\sis12.exe
O4 - HKLM\..\Run: [bjrhgbtskace] C:\WINDOWS\System32\bkmcyso.exe
O4 - HKLM\..\Run: [Microsoft Intrenet Explorer] xrbot.exe
O4 - HKLM\..\Run: [msn manager] tasksmgr.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Wind0ws h3lp File] c:\windows\system32\help32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe
O4 - HKLM\..\Run: [Kazaa Download Accelerator Updater] regsvr32 /s C:\WINDOWS\System32\kdpupd.dll
O4 - HKLM\..\Run: [DATABASE MySql] c:\windows\system32\mado1\repcale.exe c:\windows\system32\mado1\beird.exe
O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe
O4 - HKLM\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\System32\KDP21e6.dll"
O4 - HKLM\..\Run: [clfmon] C:\WINDOWS\clfmon.exe
O4 - HKLM\..\Run: [hi] c:\windows\system32\tega.exe
O4 - HKLM\..\Run: [SvcH0st] C:\WINDOWS\winagent.exe /i
O4 - HKLM\..\Run: [Sygate Personal Firewall] t1ktik.exe
O4 - HKLM\..\Run: [antiware] C:\windows\system32\elitexom32.exe
O4 - HKLM\..\Run: [gt] c:\windows\system32\tega.exe
O4 - HKLM\..\Run: [CTFM0N] ]^_`abcdefghijklmnopqrstuvwxyz{|}~Xf³
O4 - HKLM\..\Run: [WhenUSave] C:\Programme\Save\Save.exe
O4 - HKLM\..\Run: [MimBoot] C:\Programme\Musicmatch\Musicmatch Jukebox\mimboot.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [] c:\windows\system32\tega.exe
O4 - HKLM\..\RunServices: [Microsoft Update Mechene] Updatez.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] btf.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKLM\..\RunServices: [blah Microsoft service] serbar.exe
O4 - HKLM\..\RunServices: [EviL] byfy.exe
O4 - HKLM\..\RunServices: [Microsoft Intrenet Explorer] xrbot.exe
O4 - HKLM\..\RunServices: [msn manager] tasksmgr.exe
O4 - HKLM\..\RunServices: [DATABASE MySql] c:\windows\system32\mado1\repcale.exe c:\windows\system32\mado1\beird.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] t1ktik.exe
O4 - HKLM\..\RunServices: [CTFM0N] ]^_`abcdefghijklmnopqrstuvwxyz{|}~Xf³
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update Mechene] Updatez.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] btf.exe
O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [EviL] byfy.exe
O4 - HKCU\..\Run: [msn manager] tasksmgr.exe
O4 - HKCU\..\Run: [DATABASE MySql] c:\windows\system32\mado1\repcale.exe c:\windows\system32\mado1\beird.exe
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\TEMP\Anwendungsdaten\estr.exe
O4 - HKCU\..\Run: [Cdcixtcx] C:\WINDOWS\System32\m?config.exe
O4 - HKCU\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\System32\KDP21e6.dll"
O4 - HKCU\..\Run: [Sygate Personal Firewall] t1ktik.exe
O4 - HKCU\..\Run: [ClockSync] C:\Programme\ClockSync\Sync.exe /q
O4 - HKCU\..\RunServices: [EviL] byfy.exe
O4 - HKCU\..\RunServices: [DATABASE MySql] c:\windows\system32\mado1\repcale.exe c:\windows\system32\mado1\beird.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.salzburg-online.at
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F7} (Flatcast Viewer 4.10) - http://www.1mal1.com/flatcast/NpFv410.dll
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O21 - SSODL: SysTray - {E61B5E20-DE35-11CF-9C87-1579005127ED} - C:\WINDOWS\system32\msc.cpl
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

so ok??

Logfile of HijackThis v1.99.1
Scan saved at 16:17:07, on 20.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\services.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\qttask.exe
C:\Programme\Multimedia keyboard utility\1.3\KbdAp32A.exe
C:\WINDOWS\System32\Updatez.exe
C:\WINDOWS\System32\btf.exe
C:\WINDOWS\System32\pathname.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\vhchost.exe
C:\WINDOWS\winlogon.exe
C:\WINDOWS\System32\WinScood.exe
C:\WINDOWS\System32\F4h3d.exe
C:\WINDOWS\System32\serbar.exe
C:\WINDOWS\System32\byfy.exe
C:\windows\system32\tega.exe
C:\WINDOWS\System32\sis12.exe
C:\WINDOWS\System32\tasksmgr.exe
C:\WINDOWS\Dit.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\W1n32\plug.exe
C:\windows\system32\help32.exe
C:\WINDOWS\clfmon.exe
C:\windows\system32\tega.exe
C:\WINDOWS\winagent.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\m?config.exe
C:\WINDOWS\System32\dirote.exe
C:\Programme\ClockSync\Sync.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Musicmatch\Musicmatch Jukebox\mim.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\MMDiag.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\swiss mirc\mirc.exe
C:\Dokumente und Einstellungen\Blizzard\Desktop\eMule43b-bin\emule.exe
C:\WINDOWS\system32\mmc.exe
C:\Dokumente und Einstellungen\TEMP\Eigene Dateien\prüfung.com.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = www.msn.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.msn.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://allways4u.com/index.php?ID=31037
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.salzburg-online.at
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Salzburg-Online
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: ZServObj Class - {00000000-C1EC-0345-6EC2-4D0300000000} -

Hallo,

lange Rede kurzer Sinn, setze dein System neu auf, denn es ist absolut nicht mehr vertrauenswürdig. Der Grund für die derart starke Kompromittierung liegt an deinem nicht vorhandenen Patchverhalten und dies solltest du danach bessern!
Klicke den Link in meiner Signatur an, befolge die Empfehlungen und nur dann hast du wieder einen sicheren und sauberen PC der auch wieder unter deiner Kontrolle ist.

Kann mir gar nicht vorstellen, dass der PC überhaupt noch läuft :balla:

@ Haui45

Er wird überrascht sein, wie schnell ein sauberes System wieder sein kann.;)

das hab ich nun nicht erwartet^^ ich hab vielleicht 1-3 searchbars, gator und ein paar trojan-downloader sowie diverse adware erwartet aber 27-30 backdoor (vermute ich, konnts nich so genau zählen) nun wirklich nicht ^

einzige möglichkeit neu aufsetzten oder??

Ja!
Das System ist hochgradig kompromittiert!

ok und was hat es mit meinen regedit problem auf sich??

Nachdem du dein System neu aufgesetzt hast, kannst du wieder ganz normal auf die Registry zugreifen.

Klasse wie ihr das immer seht. Für mich hätte sich aus dem blosen anschauen des Logs garnix ergeben. Habe es aber mal bei der automatischen Logfileauswertung auswerten lassen und auch hier werden "nur" 8 Einträge als böse eigestuft.
Nun würde mich interessieren welche sind die anderen 20 bis 22 Trojaner. Nur weil ich ja auch was dazulernen möchte.

Gruß Raven