Spy Bot, Add Aware, CWS haben versagt :-(
 

Hi ihr lieben Leuts. Mein Rechner hat sich was eingefangen und wird es nicht mehr los. Hoffentlich wisst ihr was!! Danke


Logfile of HijackThis v1.98.2
Scan saved at 13:36:00, on 24.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System\MSMSGSVC.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Spyware Doctor\spydoctor.exe
C:\Dokumente und Einstellungen\D. Harald Alke\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe
O4 - HKCU\..\Run: [Spyware Doctor] "D:\Programme\Spyware Doctor\spydoctor.exe" /Q

:heilig: :heilig: :heilig:

Ist das wirklich das ganze Logfile?
Wenn nicht, dann poste es nochmal.

Also viel mehr ist das nicht. Ich hab vorhin aus lauter ungeduld alles gelöscht. der kram da unten kam aber einfach wieder. irgendwie extrem hartnäckig. HILFFEEEE!!!! :( :( :(


Logfile of HijackThis v1.98.2
Scan saved at 22:09:00, on 24.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System\MSMSGSVC.exe
D:\Programme\Spyware Doctor\spydoctor.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Dokumente und Einstellungen\D. Harald Alke\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe
O4 - HKCU\..\Run: [Spyware Doctor] "D:\Programme\Spyware Doctor\spydoctor.exe" /Q
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe

Versteh ich das richtig das du einmal komplett alles gefixt hast?

jap. welche foldegn hat das? :(

Warum macht man sowas?!

Wenn du das hijackthis1982.zip nicht temporär entpackt und der HijackThis.exe einen extra Ordner spendiert hättest, dann könnte man das Fixen wieder rückgängig machen.


Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben, lösche danach die erkannte Malware manuell und poste die Virus Log Information von eScan AntiVirus.

weil man doof ist. naja. was hab ich denn jetzt zerstört? wenn man das so abschätzen kann... kann man den schaden beheben. programme neu installieren etc... danke danke danke!!!

Ja, das kann man.
Führe zuerst wie beschrieben eScan aus und dann sehen wir weiter.

ich hab alles gauso gemacht. ich hab auch die infizierten dateien vor mir. aber ich kann die doch nicht einfach komplett löschen..... :dummguck:

Bist du dir sicher, dass du eScan im abgesicherten Modus angewandt hast?!
Ich denke nicht!
Wie gross ist deine Festplatte, etwa 1 GB?

hi. ich probiers gleich nochmal. und geb bescheid. danke...!

ja also es ist wohl so wie unten beschrieben. 3 trojaner/viren sind in meinem windows ordner in kleinen dateien versteckt. unter anderem logpad.com usw.

soll ich diese dateien komplett killen?

nennen uns erstmal die Namen der Viren (und auch die dateinamen)

Orginal:
WINDOWS/System/MSMSGSVC.exe infected by "Trojan Dropper.Win32.Small.lx" Virus.
(die Meldung oben kommt irgendwie 2 mal ohne erkennbaren unterschied.
WINDOWS/System32/notepad.com infected by "Trojan Dropper.Win32.Small.lx" Virus.

Tausend Dank!

hi bambi
das glaube ich nicht, da hast du eher versucht, dein system :kloppen: :) :)

--> sollte so aussehen C:\Programme\HijackThis\HijackThis.exe
--> windows-update durchführen

okay geupdated. nun... :)

ja ich hab grad nochmal alle maschienen drüber laufen lassen. leider immer noch nix neues. meine 3 kandidaten sind leider nicht weg...

Scanning File C:\WINDOWS\System32\notepad.com
Thu Nov 25 12:43:23 2004 => File C:\WINDOWS\System32\notepad.com infected by "TrojanDropper.Win32.Small.lx" Virus. Action Taken: No Action Taken.

Scanning File C:\WINDOWS\System\MSMSGSVC.exe
Thu Nov 25 12:41:45 2004 => File C:\WINDOWS\System\MSMSGSVC.exe infected by "TrojanDropper.Win32.Small.lx" Virus. Action Taken: No Action Taken.

der letzte ist irgendwie 2 mal aufgeführt.
p.s. wenn mein internet explorer erst beim 2. oder 3. mal eine verbindung kriegt (dsl) liegt das eher an den gelöschten daten von hijack this oder an den trojanern, die nicht wissen, welche startseite jetzt dran ist. die startseite wechselt nämlich dauernd....

was ein schlamssel. danke für eure geduld. :bussi:

hallo bamby

kannst du ein aktuelles HijackThis logfile hier posten, bitte :schrei:

Logfile of HijackThis v1.98.2
Scan saved at 18:31:33, on 25.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System\MSMSGSVC.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
D:\Programme\Kazaa Lite\clean.kmd
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Shareaza\Shareaza.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\D. Harald Alke\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101339301618



gruß!

hallo bambi

was ist mit dem windows-update?
warum läuft HijackThis noch immer in einem temp-unterordner?

hier dein logfile automatisch ausgewertet :mad:

HijackThis starten, config wählen und hier misc-tool, hier wählst du
delete a file on rebbot diese datei aus --> C:\WINDOWS\System\MSMSGSVC.exe, neustart --> HijackThis starten und alle bösen einträge (aus dem Logfile) fixen.
Dann ein neues Logfile erstellen und wieder hier posten :)

also das windows update meinte ich schon gestern gemacht zu haben.

die weiteren anweisungen sind jetzt auch ausgeführt.

e scan gibt mir noch eine meldung:
Thu Nov 25 20:31:07 2004 => File C:\WINDOWS\System32\notepad.com infected by "TrojanDropper.Win32.Small.lx" Virus. Action Taken: No Action Taken.

und hijack this hat folgendes log:
Logfile of HijackThis v1.98.2
Scan saved at 20:41:58, on 25.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Shareaza\Shareaza.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\HIjack This\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101339301618

:)

lassen sich denn die dateien, die ich mit hijack gekillt habe rekonstruieren? bzw. soll ich die von e scan erkannte datei löschen...?
danke schön :daumenhoc

Hi bambi,
Du hast immer noch SP 1 drauf. Wahrscheinlich hast du dir für SP 2 nur den Installer runtergeladen - jetzt heißt es ausführen; und das dauert...
Also, bis dann.

cacatoa

Nachtrag:
War das letzte Dein ganzes Logfile?
Warum willst du böse Sachen rekonstruieren?
Die von eScan erkannte Datei im abgesicherten Modus bei deaktivierter Systemwiederherstellung löschen, dann neu booten. Systemwiederherstellung wieder aktivieren.
cacatoa

mein logfile ist so klein, weil ich bei der ersten hijack-verwendung alles gelöscht habe, was vor mir stand. zimelich dumm ich weiß -jetzt.

nun denn. ich werde nochmal im abgesicherten modus alles versuchen zu löschen, was da unten noch an "bösen" sachen steht.

grüße

Ich weiß nicht ob´s funktioniert, versuch mal eine Systemwiederherstellung zu einem früheren Zeitpunkt. Schau, was dabei wieder kommt.