|
Trojan-spy.html.smitfraud remover Hallo an Alle!! hat schon jemand ne Ahnung wie man diesen scheiss Trojaner wegbekommt? Gruß JCP ================================================= Running processes: E:\WINNT\System32\smss.exe E:\WINNT\system32\winlogon.exe E:\WINNT\system32\services.exe E:\WINNT\system32\lsass.exe E:\WINNT\system32\svchost.exe E:\WINNT\system32\spoolsv.exe E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe E:\WINNT\System32\Ati2evxx.exe E:\WINNT\System32\svchost.exe E:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe E:\Programme\Norton AntiVirus\navapsvc.exe E:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE E:\WINNT\system32\regsvc.exe E:\WINNT\system32\MSTask.exe E:\WINNT\System32\WBEM\WinMgmt.exe E:\WINNT\system32\svchost.exe E:\WINNT\Explorer.EXE E:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe E:\Programme\FreePDF\FreePDFA.exe E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe E:\Programme\MSN Messenger\msnmsgr.exe E:\Dokumente und Einstellungen\wolfgang\Desktop\HijackThis.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = E:\WINNT\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Synchronization Manager = mobsync.exe /logon ATIPTA = E:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe FreePDFAssistent = E:\Programme\FreePDF\FreePDFA.exe NeroFilterCheck = E:\WINNT\system32\NeroCheck.exe Advanced Tools Check = E:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE TkBellExe = "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run msnmsgr = "E:\Programme\MSN Messenger\msnmsgr.exe" /background -------------------------------------------------- Shell & screensaver key from E:\WINNT\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=*Registry value not found* drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry value not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Enumerating Browser Helper Objects: NAV Helper - E:\Programme\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872} -------------------------------------------------- Enumerating Task Scheduler jobs: Norton AntiVirus - Scan my computer.job Symantec NetDetect.job -------------------------------------------------- Enumerating Download Program Files: [YInstStarter Class] InProcServer32 = E:\WINNT\Downloaded Program Files\yinsthelper.dll CODEBASE = http://download.yahoo.com/dl/installs/yinst0309.cab [{41564D57-9980-0010-8000-00AA00389B71}] CODEBASE = http://download.microsoft.com/downlo...1F/wmvadvd.cab [Shockwave Flash Object] InProcServer32 = E:\WINNT\System32\macromed\flash\Flash.ocx CODEBASE = http://download.macromedia.com/pub/s...sh/swflash.cab -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: Network.ConnectionTray: E:\WINNT\system32\NETSHELL.dll WebCheck: E:\WINNT\System32\webcheck.dll SysTray: stobject.dll -------------------------------------------------- End of report, 4.495 bytes Report generated in 0,078 seconds |
Hallo, wo wird der Trojaner gefunden? Poste mal ein richtiges HjT-Log (http://filepony.de/download-hijackthis/) |
Hier das Log file!! Das Desktop hintergrundbild ist betroffen und die Bildschirmeigenschaften sind nicht aufrufbar!!! Da sind nur Schoner/effekte/einstellungen da sonst nichts mehr!! Gruß jcp3623 Logfile of HijackThis v1.98.2 Scan saved at 22:20:17, on 11.04.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: E:\WINNT\System32\smss.exe E:\WINNT\system32\winlogon.exe E:\WINNT\system32\services.exe E:\WINNT\system32\lsass.exe E:\WINNT\system32\svchost.exe E:\WINNT\system32\spoolsv.exe E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe E:\WINNT\System32\Ati2evxx.exe E:\WINNT\System32\svchost.exe E:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe E:\Programme\Norton AntiVirus\navapsvc.exe E:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE E:\WINNT\system32\regsvc.exe E:\WINNT\system32\MSTask.exe E:\WINNT\System32\WBEM\WinMgmt.exe E:\WINNT\system32\svchost.exe E:\WINNT\Explorer.EXE E:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe E:\Programme\FreePDF\FreePDFA.exe E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe E:\Programme\MSN Messenger\msnmsgr.exe E:\Programme\Internet Explorer\IEXPLORE.EXE E:\Dokumente und Einstellungen\wolfgang\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [ATIPTA] E:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [FreePDFAssistent] E:\Programme\FreePDF\FreePDFA.exe O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [Advanced Tools Check] E:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [msnmsgr] "E:\Programme\MSN Messenger\msnmsgr.exe" /background O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com |
das logfile bringt garnichts ... wär ma schön wenn einer den fehler wirklich finden würde .... aber irgendwie bekommt man hier wohl keine hilfe wegen dem teil :headbang: |
Hallo. lösche bitte die 015 einträge, falls es nicht gleich geht, gehe so: http://www.trojaner-board.de/showpos...6&postcount=31 vor. Update deinen IE, beim nächten mal bitte, den neusten HJT benutzen. LG, Charlie |
Hallo ´zusammen das hat alles noch nichts gebracht!! Mein Desktop Hintergrundbild ist betroffen und bei der Anzeige in der Systemsteuerung habe ich nur noch Schoner/effekte/einstellungen da aber kein Hintergrundbild mehr auswählbar. Bitte schaut noch mal nach ob jemand was weis über diesen Trojaner!!! Gruß JCP3623 |
ich habe ihn bei mir so entfernt: KHCU / Software/Microsoft/Windows/CurrentVersion/Police/ hier soll nur Explorer stehen Den Eintrag System habe ich komplett entfernt im Grundverzeichnis C: habe ich die WP.exe entfernt, daneben steht WP.bmp nach entfernen des Systemeintrags in der Registry war die Auswahl der Anzeigeeigenschaften wieder möglich.Hier findet sich dann der WP.bmp Eintrag |
Hallo Achim, kann deine Anweisungen nur bestättigen ist alles wieder da und funktioniert wieder ohne Propleme!! Vielen Dank für deine Hilfe!!! :party: Gruß Jcp3623 |
Hallo Achim, schlage mich gerade mich dem gleichen Problem herum. Wp.exe und wp.jpg habe ich auch gefunden und gelöscht. Zitat:
Viele Grüße JAGA |
Zitat:
Win-Taste + R-> "regedit" (ohne"")-> Enter -> Dann einfach zum gewünschten Eintrag navigieren: "KHCU" ist falsch, es muss HKCU heißen (HKEY_CURRENT_USER) Zur Lösung kann ich vorerst nichts sagen! |
Super!! Wieder was gelernt. Wusste vorher gar nicht, wie man in die Registry gelangt. Hab das Problem jetzt gefixt. Vielen Dank euch allen! :party: JAGA |
Hallo, ich hatte auch Probleme, konnte aber Dank der Tips in diesem Forum das Meiste lösen. Allerdings habe ich es nicht geschafft, das lästige kleine, gelbe Dreieck mit der Warnung dauerhaft aus der Taskleiste zu entfernen. Weiß da vielleicht noch jemand Rat? Danke im Voraus newbie01 |
< hochhol > Hat niemand eine Idee? Gruß newbie01 |
Zitat:
|
Hallo, ich war über das Wochenende unterwegs. Also hier kommt das Log: Logfile of HijackThis v1.99.1 Scan saved at 08:02:13, on 18.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec AntiVirus\DefWatch.exe C:\Programme\Gemeinsame Dateien\Sage KHK Shared\LiveUpdate\LiveUpdateInstaller.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Gemeinsame Dateien\Sage KHK Shared\Registry.exe C:\Programme\Symantec AntiVirus\SavRoam.exe C:\WINDOWS\System32\SLEE401.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Symantec AntiVirus\Rtvscan.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~2\VPTray.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Tracker\PDF-XChange\PDFSaver.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Steganos Security Suite 4\sde.exe C:\Programme\Steganos Security Suite 4\steganos4.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Compaq\EAKDRV\EAUSBKBD.EXE C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\msole32.exe C:\WINDOWS\popuper.exe C:\WINDOWS\System32\intmonp.exe C:\Programme\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE C:\Programme\Compaq\Easy Access Button Support\CPQEADM.EXE C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe C:\Programme\ZipGenius\zipgenius.exe C:\ZGtemp\2432343\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.compaq.com/1Q00CDT/0407/bl7.asp F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: (no name) - {F5FA2B96-2A91-4E59-88B1-505AFFFB8D72} - C:\WINDOWS\System32\ockl.dll (file missing) O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Virtual Maid - {77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C} - C:\PROGRA~1\VIRTUA~1\VIRTUA~1.DLL O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [DrvLsnr] C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [PDFSaver] C:\Programme\Tracker\PDF-XChange\PDFSaver.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe O4 - HKLM\..\RunServices: [ZipGenius Clean] "C:\WINDOWS\zg.exe" -cleantemp O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SDE] "C:\Programme\Steganos Security Suite 4\sde.exe" /booting O4 - HKCU\..\Run: [SSS] "C:\Programme\Steganos Security Suite 4\steganos4.exe" /booting O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SIAPRO6_ITD] "C:\Programme\Steganos Internet Anonym Pro 6\itd.exe" /booting O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &RSDN Search - res://C:\PROGRA~1\VIRTUA~1\VIRTUA~1.DLL/GoVM.dll.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Microsoft AntiSpyware helper - {28846CA2-FDAB-4FA7-8D5F-BAA2FB6D8F09} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {28846CA2-FDAB-4FA7-8D5F-BAA2FB6D8F09} - (no file) (HKCU) O17 - HKLM\System\CCS\Services\Tcpip\..\{4043A832-3160-4049-91F1-7DCEC7FB5BB8}: NameServer = 192.168.1.1 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LiveUpdateInstaller - Sage KHK Software - C:\Programme\Gemeinsame Dateien\Sage KHK Shared\LiveUpdate\LiveUpdateInstaller.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Sage Registrierungsdienst (Registry) - Sage KHK Software - C:\Programme\Gemeinsame Dateien\Sage KHK Shared\Registry.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe O23 - Service: Steganos Live Encryption Engine (Version 401) [Service] (SLEE_401_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE401.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe Ich dachte schon, ich hätte das Problem gelöst, aber die Warnung erschein immer wieder. Gruß newbie01 |
Hallo, habe das gleiche Problem mit dem blinkenden gelben Dreieck. Taucht immer wieder unten in der Taskleiste auf. Wenn man draufklickt steht auf enlisch dort, dass angeblich Spyprogramme drauf sind, die meinen PC langsamer machen und mehrere Verweise auf Antispyprogramme die etwas kosten. Kann jemand helfen!? |
Hallo Achim, schau mal in der regedit nach!! Einfach start dann Ausführen und dort regedit eigeben!!! Gruß jcp Zitat:
|
Also bei mir hat es genauso hingehauen! Danke der unter mir dessen Namen ich vergessen hab^^ |
Hi! Die nächste Nervensäge, die sich den smitfraud-Trojaner eingefangen hat. Das System funktioniert nach "Systemwiederherstellung" zu einem früheren Datum wieder. Aber wie weiß ich, ob sich der Trojaner noch unbemerkt im Hintergrund tummelt? Hab mal sicherheitshalber mein HiJack-Logfile angehängt und wäre wirklich dankbar, wenn da mal einer sich die Mühe macht und drüberschaut, ob noch Trojaner-Reste vorhanden sind. Besten Dank schon mal! fiddlestix Logfile of HijackThis v1.99.1 Scan saved at 19:23:33, on 20.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RunDll32.exe C:\PROGRA~1\Wanadoo\CnxMon.exe C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe C:\PROGRA~1\Wanadoo\TaskbarIcon.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Logitech\MediaLife\MediaLifeService.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\Pinnacle\MediaCenter\Remote\Remoterm.exe C:\WINDOWS\System32\gah95on6.exe C:\WINDOWS\hxvsf.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe C:\WINDOWS\System32\scrccsp.exe C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\CASIO\Photo Loader\Plauto.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\StarOffice7\program\soffice.exe C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe C:\WINDOWS\System32\hpoipm07.exe C:\Programme\Internet Explorer\IEXPLORE.EXE c:\progra~1\pinnacle\shared~1\programs\medias~1\pmshost.exe C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo R3 - URLSearchHook: (no name) - _{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file) O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing) O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Programme\CxtPls\cxtpls.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll (file missing) O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\PROGRA~1\YOURSI~1\ysb.dll (file missing) O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [CorelDRAW ESSENTIALS14] C:\Programme\Corel\CorelDRAW ESSENTIALS 2\Register\Registration.exe /title="CorelDRAW ESSENTIALS" /date=042605 serial=ES02WBG-0090091-CML O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [PCMService] "C:\Programme\Logitech\MediaLife\MediaLifeService.exe" O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [PMCRemote] C:\Programme\Pinnacle\MediaCenter\Remote\Remoterm.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Preview AdService] C:\Program Files\Preview AdService\PrevAdServ.exe O4 - HKLM\..\Run: [salm] c:\temp\salm.exe O4 - HKLM\..\Run: [EbatesMoeMoneyMaker0] "C:\Programme\Ebates_MoeMoneyMaker\EbatesMoeMoneyMaker0.exe" O4 - HKLM\..\Run: [navapp] C:\Programme\NavExcel\NavHelper\v2.0.4d\navapp.exe O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe O4 - HKLM\..\Run: [Hjljp] C:\Program Files\Ovemmh\Qlsmb.exe O4 - HKLM\..\Run: [2cun3] C:\WINDOWS\hxvsf.exe O4 - HKLM\..\Run: [tupkvex] C:\WINDOWS\tupkvex.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [5F2k37V] imaeman.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc O4 - HKCU\..\Run: [KotqRXZFV] scrccsp.exe O4 - Startup: StarOffice 7.lnk = C:\Programme\StarOffice7\program\quickstart.exe O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing) O9 - Extra button: MUSICMATCH MX Web Player - {d81ca86b-ef63-42af-bee3-4502d9a03c2d} - http://wwws.musicmatch.com/mmz/openWebRadio.html (file missing) O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Programme\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (file missing) (HKCU) O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Do...bridge-c11.cab O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/...sb_1002245.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - - c:\progra~1\pinnacle\mediac~1\epgspo~2.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\progra~1\pinnacle\shared~1\programs\medias~1\pmshost.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe |
Hallo fiddlestix, die Systemwiederherstellung ist leider kein Allheilmittel. Es ist weitere Malware auf deinem System weiterhin aktiv. Führe zunächst dies aus: Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben. Poste anschliessend die Virus Log Information von eScan AntiVirus: Öffne die mwav.log im Ordner C:\bases_x -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. |
Hi Cidre, habe mir auch das Trojan-Spy.HTML.Smitfraud.c eingefangen. Mit verschiedenen Antivirenprogramme hoffe ich das alles weg ist, das ärgerlich ist nun das der Desktop schwarz ist. Unter Anzeige ist kein Desktop mehr, Das mit der Taskleiste verschwinden lassen habe ich auch schon ausprobiert. Geht auch nicht. Kann mir jemand helfen. Ich verzweifle langsam. Apropos: Window Media Player funktioniert auch nicht mehr. Er meldet : Interner Anwendungsfehler. Danke Euch echt für jede Hilfe |
Hi Cidre, Danke für die Tips. Hab soweit alles hingekriegt. Hier ist der ewig lange Logfile. De ganzen Dateien mit Pfadangaben kann ich ja löschen (oder ist da was dabei, was man braucht??). Aber was mach ich bei "System found infected". Bitte nochmals ein paar Tipps! Ganz herzlichen Dank fiddlestix File C:\ISP\AOL-Mediamarkt-9.0\AOLSetup.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. C:\WINDOWS\System32\2b3fsk0h.dll infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken File C:\WINDOWS\System32\gah95on6.exe infected by "not-a-virus:AdWare.Sahat.n" Virus. Action Taken: No Action Taken File C:\WINDOWS\System32\scrccsp.exe infected by "not-a-virus:AdWare.Apropos.i" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\gah95on6.exe infected by "not-a-virus:AdWare.Sahat.n" Virus. Action Taken: No Action Taken File C:\WINDOWS\system32\scrccsp.exe infected by "not-a-virus:AdWare.Apropos.i" Virus. Action Taken: No Action Taken System found infected with DyFuCA Spyware/Adware ({00000010-6f7d-442c-93e3-4a4827c2e4c8})! Action taken: No Action Taken. Wed Apr 20 20:39:23 2005 => File System Found infected by "DyFuCA Spyware/Adware" Virus. Action Taken: No Action Taken. System found infected with IstBAR Spyware/Adware ({0985c112-2562-46f2-8da6-92648ba4630f})! Action taken: No Action Taken. File System Found infected by "IstBAR Spyware/Adware" Virus. Action Taken: No Action Taken. System found infected with IstBAR Spyware/Adware ({67907b3c-a6ef-4a01-99ad-3fcd5f526429})! Action taken: No Action Taken. File System Found infected by "IstBAR Spyware/Adware" Virus. Action Taken: No Action Taken. System found infected with IstBAR Spyware/Adware ({86227d9c-0efe-4f8a-aa55-30386a3f5686})! Action taken: No Action Taken. File System Found infected by "IstBAR Spyware/Adware" Virus. Action Taken: No Action Taken. System found infected with SideFind Spyware/Adware ({8cba1b49-8144-4721-a7b1-64c578c9eed7})! Action taken: No Action Taken. File System Found infected by "SideFind Spyware/Adware" Virus. Action Taken: No Action Taken. System found infected with SideFind Spyware/Adware ({58634367-d62b-4c2c-86be-5aac45cdb671})! Action taken: No Action Taken. File System Found infected by "SideFind Spyware/Adware" Virus. Action Taken: No Action Taken. System found infected with SideFind Spyware/Adware ({d0288a41-9855-4a9b-8316-babe243648da})! Action taken: No Action Taken. File System Found infected by "SideFind Spyware/Adware" Virus. Action Taken: No Action Taken. System found infected with SideFind Spyware/Adware ({339d8aff-0b42-4260-ad82-78ce605a9543})! Action taken: No Action Taken. File System Found infected by "SideFind Spyware/Adware" Virus. Action Taken: No Action Taken. System found infected with SideFind Spyware/Adware ({a36a5936-cfd9-4b41-86bd-319a1931887f})! Action taken: No Action Taken. File System Found infected by "SideFind Spyware/Adware" Virus. Action Taken: No Action Taken. System found infected with SideFind Spyware/Adware ({10e42047-deb9-4535-a118-b3f6ec39b807})! Action taken: No Action Taken. File System Found infected by "SideFind Spyware/Adware" Virus. Action Taken: No Action Taken. System found infected with SideFind Spyware/Adware ({a3fdd654-a057-4971-9844-4ed8e67dbbb8})! Action taken: No Action Taken. File System Found infected by "SideFind Spyware/Adware" Virus. Action Taken: No Action Taken. System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken. File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken. System found infected with BlazeFind Spyware/Adware ({15ad4789-cdb4-47e1-a9da-992ee8e6bad6})! Action taken: No Action Taken. File System Found infected by "BlazeFind Spyware/Adware" Virus. Action Taken: No Action Taken. System found infected with Adintelligence.AproposToolbar Spyware/Adware ({016235be-59d4-4ceb-add5-e2378282a1d9})! Action taken: No Action Taken. File System Found infected by "Adintelligence.AproposToolbar Spyware/Adware" Virus. Action Taken: No Action Taken System found infected with sidefind Spyware/Adware! Action taken: No Action Taken. File System Found infected by "sidefind Spyware/Adware" Virus. Action Taken: No Action Taken. System found infected with powerscan Spyware/Adware! Action taken: No Action Taken. File System Found infected by "powerscan Spyware/Adware" Virus. Action Taken: No Action Taken. System found infected with power scan Spyware/Adware! Action taken: No Action Taken. File System Found infected by "power scan Spyware/Adware" Virus. Action Taken: No Action Taken. System found infected with ameopt Spyware/Adware! Action taken: No Action Taken. File System Found infected by "ameopt Spyware/Adware" Virus. Action Taken: No Action Taken. System found infected with kapabout Spyware/Adware! Action taken: No Action Taken. File System Found infected by "kapabout Spyware/Adware" Virus. Action Taken: No Action Taken. System found infected with ist Spyware/Adware! Action taken: No Action Taken. File System Found infected by "ist Spyware/Adware" Virus. Action Taken: No Action Taken. System found infected with avenue media Spyware/Adware! Action taken: No Action Taken. File System Found infected by "avenue media Spyware/Adware" Virus. Action Taken: No Action Taken. System found infected with yoursitebar Spyware/Adware! Action taken: No Action Taken. File System Found infected by "yoursitebar Spyware/Adware" Virus. Action Taken: No Action Taken. System found infected with elitetoolbar Spyware/Adware! Action taken: No Action Taken. File System Found infected by "elitetoolbar Spyware/Adware" Virus. Action Taken: No Action Taken. System found infected with WindUpdate Spyware/Adware (ide21201.vxd)! Action taken: No Action Taken. File System Found infected by "WindUpdate Spyware/Adware" Virus. Action Taken: No Action Taken. File C:\WINDOWS\70tovmto.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken File C:\WINDOWS\System32\2b3fsk0h.dll infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken File C:\WINDOWS\System32\2b3fsk0h.dll infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken File C:\WINDOWS\System32\bln02nqv.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken File C:\DOKUME~1\Moni\LOKALE~1\Temp\eBHKPA.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken File C:\DOKUME~1\Moni\LOKALE~1\Temp\geJatO.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken File C:\DOKUME~1\Moni\LOKALE~1\Temp\istsv_.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken File C:\DOKUME~1\Moni\LOKALE~1\Temp\noFDEL.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken C:\DOKUME~1\Moni\LOKALE~1\Temp\OBZYXZ.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\SahUpdate\aj8sml3fo_.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken C:\DOKUME~1\Moni\LOKALE~1\Temp\SahUpdate\h63v2629j_.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken File C:\DOKUME~1\Moni\LOKALE~1\Temp\SahUpdate\lcp4q80t9_.dll infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\SahUpdate\setup4003.cab infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken File C:\DOKUME~1\Moni\LOKALE~1\Temp\SahUpdate\uu1en13ec_.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp1.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp11.tmp infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp12.tmp infected by "Trojan-Clicker.Win32.Delf.ca" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp16.tmp infected by "Trojan-Dropper.Win32.Small.vn" Virus. Action Taken: No Action Taken. Scanning File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp17.tmp Scanning File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp18.tmp File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp18.tmp infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp19.tmp infected by "Trojan-Clicker.Win32.Delf.ca" Virus. Action Taken: No Action Taken File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp1C.tmp infected by "Trojan.Win32.Hpt.j" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp1D.tmp File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp1D.tmp infected by "Trojan-Clicker.Win32.Small.fb" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp2.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp21.tmp infected by "Trojan-Dropper.Win32.Small.vn" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp23.tmp infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp24.tmp infected by "Trojan-Clicker.Win32.Delf.ca" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp27.tmp infected by "Trojan.Win32.Hpt.j" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp2C.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp2E.tmp infected by "Trojan-Dropper.Win32.Small.vn" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp30.tmp infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp31.tmp infected by "Trojan-Clicker.Win32.Delf.ca" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp35.tmp infected by "Trojan.Win32.Hpt.j" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp39.tmp infected by "Trojan-Dropper.Win32.Small.vn" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp3B.tmp infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp3C.tmp infected by "Trojan-Clicker.Win32.Delf.ca" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp48.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp5F.tmp infected by "Trojan-Dropper.Win32.Small.ue" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp60.tmp infected by "Trojan-Downloader.Win32.Murlo.p" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp61.tmp infected by "Trojan-Dropper.Win32.Small.ue" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp62.tmp infected by "Trojan-Downloader.Win32.Murlo.b" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp66.tmp infected by "Trojan-Dropper.Win32.Small.vn" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp68.tmp infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp69.tmp infected by "Trojan-Clicker.Win32.Delf.ca" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp7.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp8.tmp infected by "Trojan-Downloader.Win32.Murlo.p" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmp9.tmp infected by "Trojan.Win32.Hpt.j" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmpD.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmpE.tmp infected by "Trojan-Downloader.Win32.Murlo.w" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\tmpF.tmp infected by "Trojan-Dropper.Win32.Small.vn" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\uninstall.exe infected by "not-a-virus:AdWare.ToolBar.EliteBar.q" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Moni\LOKALE~1\Temp\wldr.dll infected by "Trojan-Downloader.Win32.Agent.kf" Virus. Action Taken: No Action Taken File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\eBHKPA.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\geJatO.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\istsv_.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\noFDEL.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\OBZYXZ.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\SahUpdate\aj8sml3fo_.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\SahUpdate\h63v2629j_.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\SahUpdate\lcp4q80t9_.dll infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\SahUpdate\setup4003.cab infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\SahUpdate\uu1en13ec_.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp1.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp11.tmp infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp12.tmp infected by "Trojan-Clicker.Win32.Delf.ca" Virus. Action Taken: No Action Taken File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp16.tmp infected by "Trojan-Dropper.Win32.Small.vn" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp19.tmp infected by "Trojan-Clicker.Win32.Delf.ca" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp1C.tmp infected by "Trojan.Win32.Hpt.j" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp1D.tmp infected by "Trojan-Clicker.Win32.Small.fb" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp2.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp21.tmp infected by "Trojan-Dropper.Win32.Small.vn" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp23.tmp infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp2C.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp2E.tmp infected by "Trojan-Dropper.Win32.Small.vn" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp30.tmp infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp35.tmp infected by "Trojan.Win32.Hpt.j" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp24.tmp infected by "Trojan-Clicker.Win32.Delf.ca" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp27.tmp infected by "Trojan.Win32.Hpt.j" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp39.tmp infected by "Trojan-Dropper.Win32.Small.vn" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp3B.tmp infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp3C.tmp infected by "Trojan-Clicker.Win32.Delf.ca" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp48.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp5F.tmp infected by "Trojan-Dropper.Win32.Small.ue" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp60.tmp infected by "Trojan-Downloader.Win32.Murlo.p" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp61.tmp infected by "Trojan-Dropper.Win32.Small.ue" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp62.tmp infected by "Trojan-Downloader.Win32.Murlo.b" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp66.tmp infected by "Trojan-Dropper.Win32.Small.vn" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp68.tmp infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp69.tmp infected by "Trojan-Clicker.Win32.Delf.ca" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp7.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp8.tmp infected by "Trojan-Downloader.Win32.Murlo.p" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmp9.tmp infected by "Trojan.Win32.Hpt.j" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmpD.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmpE.tmp infected by "Trojan-Downloader.Win32.Murlo.w" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\tmpF.tmp infected by "Trojan-Dropper.Win32.Small.vn" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\uninstall.exe infected by "not-a-virus:AdWare.ToolBar.EliteBar.q" Virus. Action Taken: No Action Taken File C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temp\wldr.dll infected by "Trojan-Downloader.Win32.Agent.kf" Virus. Action Taken: No Action Taken. |
Hallo zusammen, hab mit den Tipps hier auch nur bedingt was anfangen können. Die wp.bmp konnte ich beispielsweise löschen, die wp.exe nicht (angeblich ist das Programm in Benutzung). Und auch sonst weiss ich nicht, wo sich der Trojaner noch tummelt. Soll ich mal den Logfile von HiJackThis posten ? Vielen Dank schonmal und Gruß tuigirl |
@tuigirl Du hast ein anderes Problem, mache deshalb ein eigenes Thema auf :kloppen: @fidlestix Boote mal im abgesicherten Modus und lösche alle TIF. |
@Felix1: Aber ich hatte auch diese Meldung auf dem Desktop bezüglich smitfraud... Okay, wenn du meinst, dann mache heute Abend einen neuen Thread auf. Dann mit HijackThis-Log ? Gruß tuigirl |
hey leute me self hat auch das prob.. ich kann keine neue startseite angeben und auch diesen dummen toolbar bekomme ich net weg. wäre echt coll wenn ihr mir helfen könnted. P.S. bin auch nen abzoluter newbie |
Hallo Leute, habe soeben den trojaner-spy.html Smitfraud.c hoffentlich runtergeschmissen. :kloppen: konnte nicht mehr online gehn und hatte auch immer diese Nachricht auf dem Desktop. Ich hatte einfach diese Policies datei runtergeschmissen und :D S ystemwiederherstellung gemacht, danach hat wieder alles gefunzt. Allerdings weiß ich nicht, ob das Teil wirklich von der Kiste verschwunden ist. Hier mein log: Logfile of HijackThis v1.98.2 Scan saved at 15:59:16, on 10.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\helpctr.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\name\Eigene Dateien\Eigene Bilder\DateienvonFrank\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Picture Package Menu.lnk = ? O4 - Global Startup: Picture Package VCD Maker.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{942A70E4-15B4-43D1-84A6-BAD34938F093}: NameServer = 217.237.151.161 217.237.151.33 O17 - HKLM\System\CCS\Services\Tcpip\..\{CA0CC117-25B2-4DFD-B585-8E5E3A38EF1B}: NameServer = 192.168.120.252,192.168.120.253 das is mein aktueller log, vielen Dank im Vorraus :blabla: |
@ Fiat770 Dein Log-File sieht zumindest sauber aus, allerdings verwendest du noch eine alte HJT Version und dein System is nicht up to date, ob dein System letztendlich sauber ist, das kan dir keiner bestätigen. Zur Sicherheit mal dies ausführen: Lade und scanne mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information: Rechtsklick auf die Find.bat -> Ziel speichern unter… z.B. 'C:\Find.bat' -> Find.bat doppelklicken und den Scan abwarten -> den Inhalt der automatisch erstellten C:\eScan_neu.txt hier posten |