Trojaner-Board - Bekomme diese Datei einfach nicht weg!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bekomme diese Datei einfach nicht weg! (https://www.trojaner-board.de/14654-bekomme-diese-datei-einfach-weg.html)

Bekomme diese Datei einfach nicht weg!

010-Broken Internet access because of LSP Provider ´xfire_lsp_9028.dll´missing.
Habe es versucht mit hijackthis und Spaypot.

hijackthis sagt nur das es eine BÖSE :koch: Datei ist.
Und Spayot findet den Fehler garnicht erst.

Vieleicht könnt ihr mir ja helfen

Poste bitte ein komplettes Log!

Es gibt unterschiedliche Ursachen dafür!

Gruss

Zitat:

Zitat von HerrKautz

Poste bitte ein komplettes Log!

Es gibt unterschiedliche Ursachen dafür!

Gruss

Logfile of HijackThis v1.99.1
Scan saved at 19:37:25, on 28.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\hidserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\stisvc.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\internat.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Axel\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.googel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SM56ACL] sm56hlpr.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
O4 - Global Startup: HomeNet Control.lnk = C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Broken Internet access because of LSP provider 'xfire_lsp_9028.dll' missing
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2BD07D0-26A0-47A4-B785-645E4807107F}: NameServer = 145.253.2.81 145.253.2.203
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Mach bitte einen escan im abgesicherten Modus,da ich noch was anderes bei dir vermute,geh dazu nach dieser Anleitung vor http://www.trojaner-board.de/42731-escan-anleitung.html

Poste dann was gefunden wird!

downloade dir dieses programm

denn wenn du die O10 einträge mit HJT fixt, dann ist deine I-net verbindung tot
also mit diesem hier:

http://www.cexx.org/lspfix.htm

weiss jemand was PowerReg Scheduler.exe macht?

ist das nicht etwas von einer partition? oder ist das spyware? ich bin mir nicht sicher

Zitat:

Zitat von HerrKautz

Wie kann ich die Virus Log information hierrein kopieren?
Er hat 7 Viruse gefunden!

Zitat:

Zitat von Foley24

Wie kann ich die Virus Log information hierrein kopieren?
Er hat 7 Viruse gefunden!

So: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen ;)

Zitat:

Zitat von HerrKautz

So: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen ;)

Endlich geschafft :crazy:

Mon Feb 28 20:13:04 2005 => File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.ay" Virus. Action Taken: No Action Taken.
Mon Feb 28 20:14:48 2005 => File C:\WINDOWS\system32\winnt32.dat infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken.
Mon Feb 28 20:14:52 2005 => File C:\WINDOWS\system32\SPREAD.ME infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken.
Mon Feb 28 20:14:59 2005 => File C:\WINDOWS\system32\ffInst.exe infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action
Mon Feb 28 20:14:59 2005 => File C:\WINDOWS\system32\CTFMON32.EXE infected by "Trojan.Win32.StartPage.up" Virus. Action Taken: No Action Taken.
Mon Feb 28 20:14:59 2005 => File C:\WINDOWS\system32\CSRSSU.EXE infected by "Trojan.Win32.StartPage.up" Virus. Action Taken: No Action Taken.
Mon Feb 28 20:15:20 2005 => File C:\DOKUME~1\Axel\LOKALE~1\Temp\sa2.tmp.exe infected by "Trojan-Downloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
Mon Feb 28 20:16:07 2005 => Total Disinfected Files: 0
Mon Feb 28 20:21:42 2005 => File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.ay" Virus. Action Taken: No Action Taken.

Mon Feb 28 20:14:48 2005 => File C:\WINDOWS\system32\winnt32.dat infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken.

Setz dein System bitte nach dieser Anleitung neu auf,was anderes bleibt dir nicht übrig:http://trojaner-board.de/showthread.php?t=12154

Gruss

Zitat:

Zitat von HerrKautz

Geht da nicht irgendwie anders?
Was macht der Virus den?

Als Backdoor (deutsch Hintertür, auch Trapdoor: Falltür) bezeichnet man einen vom Autor eingebauten Teil eines Computerprogrammes, der es Benutzern ermöglicht, unter Umgehung der normalen Zugriffssicherung Zugang zum Computer (oder einem Computerprogramm) zu erlangen.

Eine Variante sind in einem System fest vorgegebene, nur dem Ersteller des Systems bekannte Passwörter oder andere versteckte Funktionen, die ein Login ohne die sonst übliche Authentifizierung ermöglichen. Populärstes Beispiel hierfür ist wohl das von Award Software über mehrere Jahre vergebene BIOS-Universalpasswort "lkwpeter".

so in etwa^^

Na dann werde ich mich wohl mal an die Arbeit machen müssen. Vielen Dank
nochmal für die Tips
MfG.Foley24