Trojaner-Board - Kann mal jemand unser Logfile anschauen (!!Anfänger!!)

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Kann mal jemand unser Logfile anschauen (!!Anfänger!!) (https://www.trojaner-board.de/11863-mal-jemand-logfile-anschauen-anfaenger.html)

Kann mal jemand unser Logfile anschauen (!!Anfänger!!)

Logfile of HijackThis v1.99.0
Scan saved at 18:34:40, on 09.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WIN_XP\System32\smss.exe
C:\WIN_XP\system32\winlogon.exe
C:\WIN_XP\system32\services.exe
C:\WIN_XP\system32\lsass.exe
C:\WIN_XP\system32\svchost.exe
C:\WIN_XP\System32\svchost.exe
C:\WIN_XP\system32\spoolsv.exe
C:\WIN_XP\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WIN_XP\System32\niSvcLoc.exe
C:\WIN_XP\System32\nvsvc32.exe
C:\WIN_XP\System32\svchost.exe
C:\WIN_XP\System32\MsPMSPSv.exe
C:\WIN_XP\System32\Fast.exe
C:\WIN_XP\System32\taskswitch.exe
C:\WIN_XP\System32\fast.exe
C:\WIN_XP\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WIN_XP\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\WIN_XP\System32\rundll32.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\WIN_XP\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WIN_XP\system32\sol.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\kavss.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Christina_2\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\win_xp\downloaded program files\googletoolbar1.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN_XP\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\win_xp\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WIN_XP\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WIN_XP\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WIN_XP\System32\fast.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WIN_XP\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WIN_XP\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WIN_XP\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - Startup: Internetdienstanbieter.lnk = ?
O4 - Startup: Microsoft Outlook.lnk = ?
O4 - Startup: Spamihilator.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\win_xp\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\win_xp\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\win_xp\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\win_xp\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WIN_XP\System32\Shdocvw.dll
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/de.../GoogleNav.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D6CDC9C-78D5-41E4-A519-ECDF0832587F}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6C77241-EB8F-4B85-9D8F-80648C12AA96}: NameServer = 217.237.151.161 217.237.151.33
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NI Service Locator - National Instruments - C:\WIN_XP\System32\niSvcLoc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WIN_XP\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WIN_XP\system32\ZoneLabs\vsmon.exe

danke im Voraus ;)

Hi,
mich wundert, daß Ihr auf diesem ungepatchten System nicht mehr drauf habt...
Also, erstmal updaten auf XP Service Pack 2 unter Windowsupdate
Dann folgende Dateien:
C:\WIN_XP\System32\niSvcLoc.exe
C:\WIN_XP\system32\sol.exe
online bei Jotti scannen. (Auf Durchsuchen gehen, wenn die DAtei gefunden ist, auf "submit".
Die Ergebnisse (jeweils 11 Zeilen) hier rein posten.
Mit HiJackThis im abgesicherten Modus das folgende fixen (nach dem scan ein Häkchen bei dem beschriebenen Punkt machen und unten auf "fix checked" clicken)
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -

Dann ein neues Logfile posten.

Hi nochmal, hoffe, wir machen das jetzt richtig!

Die Ergebnisse von "Jotti"
:
Service load: 0% 100%

File: sol.exe
Status: OK
Packers detected: None

AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.35 seconds taken)
ClamAV No viruses found (0.37 seconds taken)
Dr.Web No viruses found (0.53 seconds taken)
F-Prot Antivirus No viruses found (0.08 seconds taken)
Kaspersky Anti-Virus No viruses found (0.63 seconds taken)
mks_vir No viruses found (0.21 seconds taken)
NOD32 No viruses found (0.38 seconds taken)
Norman Virus Control No viruses found (0.48 seconds taken

Service load: 0% 100%

File: niSvcLoc.exe
Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: None

AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.33 seconds taken)
ClamAV No viruses found (0.37 seconds taken)
Dr.Web No viruses found (0.53 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus No viruses found (0.65 seconds taken)
mks_vir No viruses found (0.22 seconds taken)
NOD32 No viruses found (0.38 seconds taken)
Norman Virus Control No viruses found (0.45 seconds taken)

Gruß
Tina

...und nochmal ich...

hier das letzte Resultat:

Logfile of HijackThis v1.99.0
Scan saved at 01:06:26, on 10.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WIN_XP\System32\smss.exe
C:\WIN_XP\system32\winlogon.exe
C:\WIN_XP\system32\services.exe
C:\WIN_XP\system32\lsass.exe
C:\WIN_XP\system32\svchost.exe
C:\WIN_XP\System32\svchost.exe
C:\WIN_XP\system32\spoolsv.exe
C:\WIN_XP\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WIN_XP\System32\niSvcLoc.exe
C:\WIN_XP\System32\nvsvc32.exe
C:\WIN_XP\System32\svchost.exe
C:\WIN_XP\System32\MsPMSPSv.exe
C:\WIN_XP\System32\Fast.exe
C:\WIN_XP\System32\taskswitch.exe
C:\WIN_XP\System32\fast.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WIN_XP\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WIN_XP\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\WIN_XP\System32\RunDLL32.exe
C:\WIN_XP\System32\rundll32.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\WIN_XP\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Christina_2\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\win_xp\downloaded program files\googletoolbar1.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN_XP\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\win_xp\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WIN_XP\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WIN_XP\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WIN_XP\System32\fast.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WIN_XP\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WIN_XP\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WIN_XP\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - Startup: Internetdienstanbieter.lnk = ?
O4 - Startup: Microsoft Outlook.lnk = ?
O4 - Startup: Spamihilator.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\win_xp\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\win_xp\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\win_xp\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\win_xp\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WIN_XP\System32\Shdocvw.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105295804919
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/de.../GoogleNav.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D6CDC9C-78D5-41E4-A519-ECDF0832587F}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6C77241-EB8F-4B85-9D8F-80648C12AA96}: NameServer = 217.237.151.161 217.237.151.33
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NI Service Locator - National Instruments - C:\WIN_XP\System32\niSvcLoc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WIN_XP\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WIN_XP\system32\ZoneLabs\vsmon.exe

bin gespannt...

vielen Dank für die Mühe!

Grüßchen,
Christina

PS: Wir haben deshalb nicht mehr Probleme, weil ich gerade mehrmals täglich verschiedene Trojaner und anderes Getier per Hand aufstöbere und entferne...nervt allerdings tierisch, deshalb bin ich auf der Suche nach einer dauerhafteren Lösung!
U.A. wurde mir in den letzten Tagen gemeldet:
Worm Appkills
diverse Adware
TR/Dldr.Small.VQ
Hacker.ag Aktivitäten
TR/Dldr.Dyfuca.dk (wo der wohl herkommt???-habe mich ja schlau gemacht, was das ist,gell? :pfui: )
und anderes mehr,
bin wirklich dankbar für Hilfe...
escan meldet auch vieles, entfernt ja aber nix...

Bei einem so Kompromittierten System solltest du eigentlich auf JEDEN Fall auf eine Neuinstallation setzen.

Ich empfehle danach auf jeden Fall alle nicht benötigten Windiows Dienste abzuschalten. Ein Tool dafür findet man unter www.dingens.org

Und nie mit einem 'frisch' Installierten Windows (ohne ServicePacks) ins Netz gehen, weil du sonst spätestens 4 Minuten später schon wieder den Blaster hast. Und der Blastedr wird dann wiederrum von anderen Viren benutzt um auch ins System 'einzufallen'

Mfg Hermes

@ Hermes:
Ich lasse mich gerne belehren; also bitte zeig mir die Kompromittierung.
:crazy:
@ Tina & Maenne
Bitte poste die eScan Auswertung (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.)
Das Logfile zeigt miraußer folgendem keine Auffälligkeit:
Wieso laufen die Prozesse bei Euch unter: C:\WIN_XP anstelle von C:\Windows...
cacatoa

Bitte keine Neuinstallationen ohne entsprechende Begründungen empfehlen.

@ Tina_und_Maenne

Euer Problem scheint mir in erster Linie im Adwarebereich und bei der Konfiguration eurer Internetprogramme und der Pflege der Software zu liegen. Wichtigstes Gebot ist regelmäßiges (wöchentliches) Updaten aller entsprechenden Programme, angefangen bei Windows. Ein alternativer Browser wie Opera oder Firefox ist zu empfehlen, sie sind sicherer und auch besser als der IE. Auch diese dann entsprechend konfigurieren, speziell, was die aktiven Inhalte betrifft. Nicht jede Software aus dem netz laden und ausprobieren, vorher genau informieren, ob sie evtl. Adware enthält.

Weitere Tips:

http://www.mathematik.uni-marburg.de...ompromise.html

http://www.forum-3dcenter.org/vbulle...d.php?t=163074

Die beste dauerhafte Lösung ist es, sich nicht auf Sicherheitssoftware zu verlassen, sondern sich zu informieren und bestimmte Grundregeln zu beachten.

Es wäre tatsächlich wichtig, zu wissen, WO genau sich die von euch gefundenen Schädlinge befunden haben.

guten Morgen,
erstmal die Resultate von escan:

File C:\WIN_XP\System32\ezPopStub.exe infected by "not-a-virus:AdWare.EZula.u" Virus
File C:\WIN_XP\System32\WebRebates_Auto_InstallSilent.exe infected by "not-a-virus:AdWare.WebRebates.b" Virus
File C:\Dokumente und Einstellungen\Christina.PC\Anwendungsdaten\ougrgiethkthbr.dll infected by "not-a-virus:AdWare.Lop" Virus
File C:\Dokumente und Einstellungen\Christina_2\Eigene Dateien\Seals.exe infected by "not-virus:Joke.Win32.JepRuss" Virus
File C:\Downloads\Desktop\3037.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus
C:\Programme\AVPersonal\INFECTED\*.*
File C:\Programme\Web Offer\CHPON.dll infected by "not-a-virus:AdWare.EZula.ae" Virus
File C:\System Volume Information\_restore{FD677B47-A9EC-4122-A475-C10DDF89241C}\RP761\A0120315.exe infected by "not-a-virus:AdWare.WebRebates.b" Virus
File C:\System Volume Information\_restore{FD677B47-A9EC-4122-A475-C10DDF89241C}\RP761\A0120317.exe infected by "not-a-virus:AdWare.WebRebates.b" Virus
File C:\System Volume Information\_restore{FD677B47-A9EC-4122-A475-C10DDF89241C}\RP762\A0120341.dll infected by "not-a-virus:AdWare.EZula.ab" Virus
File C:\System Volume Information\_restore{FD677B47-A9EC-4122-A475-C10DDF89241C}\RP762\A0120343.exe infected by "not-a-virus:AdWare.EZula.z" Virus
File C:\System Volume Information\_restore{FD677B47-A9EC-4122-A475-C10DDF89241C}\RP762\A0120344.dll infected by "not-a-virus:AdWare.EZula.x" Virus
File C:\System Volume Information\_restore{FD677B47-A9EC-4122-A475-C10DDF89241C}\RP792\A0129851.exe infected by "not-a-virus:AdWare.NavExcel.d" Virus
File C:\System Volume Information\_restore{FD677B47-A9EC-4122-A475-C10DDF89241C}\RP792\A0129851.exe infected by "not-a-virus:AdWare.NavExcel.d" Virus
File C:\System Volume Information\_restore{FD677B47-A9EC-4122-A475-C10DDF89241C}\RP811\A0131663.dll infected by "not-a-virus:AdWare.EZula.ae" Virus
File C:\System Volume Information\_restore{FD677B47-A9EC-4122-A475-C10DDF89241C}\RP811\A0131664.exe infected by "not-a-virus:AdWare.EZula.u" Virus
File C:\System Volume Information\_restore{FD677B47-A9EC-4122-A475-C10DDF89241C}\RP813\A0131675.dll infected by "not-a-virus:AdWare.Lop" Virus
File C:\System Volume Information\_restore{FD677B47-A9EC-4122-A475-C10DDF89241C}\RP815\A0131718.exe infected by "not-a-virus:AdWare.WebRebates.c" Virus
File C:\System Volume Information\_restore{FD677B47-A9EC-4122-A475-C10DDF89241C}\RP815\A0131719.exe infected by "not-a-virus:AdWare.WebRebates.d" Virus
File C:\System Volume Information\_restore{FD677B47-A9EC-4122-A475-C10DDF89241C}\RP815\A0131721.exe infected by "not-a-virus:AdWare.EZula.u" Virus
File C:\WIN_XP\system32\ezPopStub.exe infected by "not-a-virus:AdWare.EZula.u" Virus
File C:\WIN_XP\system32\WebRebates_Auto_InstallSilent.exe infected by "not-a-virus:AdWare.WebRebates.b" Virus
Total Virus(es) Found: 23
Mon Jan 10 10:36:14 2005 => Total Disinfected Files: 0

Wieso die Prozesse bei uns unter WIN_XP laufen weiß ich nicht...

bei Software aus dem Netz waren wir in der Tat etwas arglos...

eine Neuinstallation würde ich wenn irgend möglich gerne umgehen, das scheint ja doch eine gruselige Aktion zu sein für einen PC-Laien...

wo sich die Trojaner und co so getummelt haben, weiß ich leider nicht mehr so genau, ich kann mich aber erinnern, daß ich u.a. immer wieder eine Datei "ied_s7m.cab" direkt in C:\ gefunden habe, die ich irgendwann entfernen konnte...seit einigen Tagen taucht sie jedenfalls in der Suche nicht mehr auf!

ich hoffe, diese Informationen sind hilfreich,

Grüßchen,

Christina

@Tina_und_Maenne
oke, schritt für schritt, lade dir clearprog hier
programm starten, alle häkchen bei windows und IE setzen, danach löschen
danach systemwiederherstellung deaktivieren, neu starten, systemwiederherstellung aktivieren.
wechsle dann in den abgesicherten modus
http://www.trojaner-board.de/63335-w...s-starten.html
und lösche manuell diese dateien
File C:\WIN_XP\System32\ezPopStub.exe infected by "not-a-virus:AdWare.EZula.u" Virus
File C:\WIN_XP\System32\WebRebates_Auto_InstallSilent.e xe infected by "not-a-virus:AdWare.WebRebates.b" Virus
File C:\Dokumente und Einstellungen\Christina.PC\Anwendungsdaten\ougrgie thkthbr.dll infected by "not-a-virus:AdWare.Lop" Virus
File C:\Dokumente und Einstellungen\Christina_2\Eigene Dateien\Seals.exe infected by "not-virus:Joke.Win32.JepRuss" Virus
File C:\Downloads\Desktop\3037.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus
C:\Programme\AVPersonal\INFECTED\*.*
File C:\Programme\Web Offer\CHPON.dll infected by "not-a-virus:AdWare.EZula.ae" Virus
File C:\WIN_XP\system32\ezPopStub.exe infected by "not-a-virus:AdWare.EZula.u" Virus
File C:\WIN_XP\system32\WebRebates_Auto_InstallSilent.e xe infected by "not-a-virus:AdWare.WebRebates.b"
neu starten.
chaosman

soooo, habe jetzt alle Tips befolgt und eScan hat im Moment auch nichts mehr zu beanstanden! Gibt es jetzt noch was zu tun?

Besten Dank für die Hilfe an alle!!!!!!!
:aplaus:

Grüßchen,

Christina

Hi Tina,
wenn escan nichts mehr findet, dann sollte jatzt alles in Ordnung sein; ein abschließendes HJT-Logfile wäre noch sinnvoll! Und natürlich die Links von MountainKing lesen!
cacatoa

Salut Cacatoa,

wie von Dir vorgeschlagen, hier nochmal ein Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 17:26:05, on 10.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WIN_XP\System32\smss.exe
C:\WIN_XP\system32\winlogon.exe
C:\WIN_XP\system32\services.exe
C:\WIN_XP\system32\lsass.exe
C:\WIN_XP\system32\svchost.exe
C:\WIN_XP\System32\svchost.exe
C:\WIN_XP\system32\spoolsv.exe
C:\WIN_XP\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WIN_XP\System32\niSvcLoc.exe
C:\WIN_XP\System32\nvsvc32.exe
C:\WIN_XP\System32\svchost.exe
C:\WIN_XP\System32\MsPMSPSv.exe
C:\WIN_XP\System32\Fast.exe
C:\WIN_XP\System32\taskswitch.exe
C:\WIN_XP\System32\fast.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WIN_XP\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WIN_XP\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\WIN_XP\System32\rundll32.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\WIN_XP\system32\ZoneLabs\vsmon.exe
C:\WIN_XP\system32\sol.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Christina_2\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\win_xp\downloaded program files\googletoolbar1.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN_XP\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\win_xp\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WIN_XP\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WIN_XP\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WIN_XP\System32\fast.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WIN_XP\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WIN_XP\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WIN_XP\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - Startup: Internetdienstanbieter.lnk = ?
O4 - Startup: Microsoft Outlook.lnk = ?
O4 - Startup: Spamihilator.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\win_xp\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\win_xp\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\win_xp\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\win_xp\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WIN_XP\System32\Shdocvw.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105295804919
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/de.../GoogleNav.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D6CDC9C-78D5-41E4-A519-ECDF0832587F}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6C77241-EB8F-4B85-9D8F-80648C12AA96}: NameServer = 217.237.151.161 217.237.151.33
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NI Service Locator - National Instruments - C:\WIN_XP\System32\niSvcLoc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WIN_XP\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WIN_XP\system32\ZoneLabs\vsmon.exe

Die Links werde ich mir noch in Ruhe zu Gemüte führen!
Noch eine Frage:
mit Antivir, eScan, adaware, und Spybot (jeweils auf dem neuesten Stand) müsste es doch möglich sein, fast alles an Schweinereien zu erwischen, oder?
Oder gibt es noch was, was Ihr empfehlt?

Grüßchen,
Christina

Zitat:

mit Antivir, eScan, adaware, und Spybot (jeweils auf dem neuesten Stand) müsste es doch möglich sein, fast alles an Schweinereien zu erwischen, oder?

Du bewertest die Fähigkeiten deiner Sicherheitsanwendungen über. Sie sind allenfalls eine Ergänzung zu einem Sicherheitskonzept. Die Basis musst du erstmal dafür schaffen und das wäre, dein System sowie die verwendete Software ausreichend zu patchen und aktuell zu halten.
Les dir die Links wirklich durch.

Hallo Cidre,

das werde ich versuchen. Bin erstmal überascht über die Tatsache, daß Antiviren-Software so wenig sicher ist (zumindest, wenn man sich so sehr auf sie verlässt, wie wir das bisher getan haben).

Danke für die Anregung,

Christina

@ Tina_und_Maenne

neben den Tipps, welche Euch bereits gegeben worden sind, möchte ich noch gerne auf diese Tipps hinweisen:
Windows sicher einrichten in 15 Schritten und Alternative Browser.

SD