Trojaner-Board - Virenbekämpfung -> Sumom.A Troj

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Virenbekämpfung -> Sumom.A Troj (https://www.trojaner-board.de/21123-virenbekaempfung-sumom-a-troj.html)

@ HerrKautz:
Servus, auf dem Schiff!!
Im ersten HJT-Log von KleeneHexe war der F3 Eintrag noch nicht vorhanden.
Wieso jetzt?
Grüße aus der sonnigen Landschaft...
cacatoa

Servus cacatoa :huepp:

ich gehe davon aus das er Eintrag erst nach dem fixen von W32/Sumom-A zustande kam,bei Agobot(glaube ich jetz) sieht man den Eintrag F2 oder F3 auch erst,wenn man den Schädling entfernt hat,bin mir jetz aber nicht mehr sicher,wie du weisst war ich ja lange net mehr aktiv!

Einträge siehst du im letzten Log,aber ich gehe eh mal davon aus,dass an dem System nix mehr zu retten is,aber warten wir mal den Scan ab!

Grüsse aus dem warmen DA!Melde mich später mal :party:

So das ist der neue Log mein PC spinnt nach wie vor
Bitte um erneute Hilfe

Logfile of HijackThis v1.99.1
Scan saved at 12:23:38, on 23.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\formatsys.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe
C:\WINDOWS\Mixer.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Dokumente und Einstellungen\Compy\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.zyfcardhzjkhjzxtbje.info/pLOHT5A9v0Il2zQhdlr3v0Fi9OPFWHpLZK/iA53YYj5aLIGklxcQgvXSk1965kzl.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.salvgwqaotejggxg.com/pLOHT5A9v0KHE6Q2HE7bU3C0Ux6MmGAMZSEitgW4zt4.htm
F3 - REG:win.ini: run=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {47C6E4E8-7C50-646B-D799-D6DCD9844510} - C:\DOKUME~1\Compy\ANWEND~1\PUREEL~1\rectsoft.exe
O2 - BHO: (no name) - {5A72E16F-A591-5D9F-4948-CDE457B68DC2} - C:\DOKUME~1\Compy\ANWEND~1\PUREEL~1\rectsoft.exe
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll (file missing)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avnort] C:\WINDOWS\msmbw.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AOL Spyware Protection] "C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [TypeVgaCurbBib] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\viewmeowtypevga\Creativefrag.exe
O4 - HKLM\..\RunServices: [ltwob] C:\WINDOWS\system32\formatsys.exe
O4 - HKLM\..\RunServices: [avnort] C:\WINDOWS\msmbw.exe
O4 - HKLM\..\RunServices: [serpe] C:\WINDOWS\system32\serbw.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DateByte] C:\DOKUME~1\Compy\ANWEND~1\SOFTWA~1\longlesssettings.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .MPG: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game15.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game12.zylomgames.com/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{35E44344-F3EB-4C10-B17E-5962F60D2FA2}: NameServer = 205.188.146.145
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AOL Privacy Protection Service (AOLService) - Unknown owner - C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\\aolserv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.

Threads zusammengeführt!

LG Cidre
S-Mod TB

Den neuen Log hierhin posten.
Du leidest immer noch an Sumom.A Troj.
cacatoa
Beitrag in die Tonne.

hallo, KleeneHexe2110!
Nutze, diesen, Deinen ersten thread zum immer noch gleichen Thema von nun an weiter, bitte!
Sonst werd ich noch http://www.cosgan.de/images/smilie/muede/s035.gif vor lauter suchen nach deinen irgenwo im Forum verschwundenen Logs...
cacatoa

So, zu Deinem neuen Logfile:
Erst mal will ich wissen, ob du die kennst:
O4 - HKCU\..\Run: [DateByte] C:\DOKUME~1\Compy\ANWEND~1\SOFTWA~1\longlesssettin gs.exe
O4 - HKLM\..\Run: [TypeVgaCurbBib] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\viewmeowtypevga\Creativefrag .exe
O2 - BHO: (no name) - {5A72E16F-A591-5D9F-4948-CDE457B68DC2} - C:\DOKUME~1\Compy\ANWEND~1\PUREEL~1\rectsoft.exe

Dann sehe ich keinen Virenscanner auf Deinem System.
Wenn du die o.a. Fragen beantwortet hast, machen wir uns ans bereinigen.
cacatoa

Nein das sagt mir alles gar nichts

Hallo,
deaktiviere die Systemwiederherstellung und geh bitte in den abgesicherten Modus. Schau im Task-Manager, ob der Prozeß:
C:\WINDOWS\system32\formatsys.exe
läuft, wenn ja, beende ihn.
Dann im abgesicherten Modus folgende fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://h**p://www.zyfcardhzjkhjzxtbj...pLZK/iA53YYj5a LIGklxcQgvXSk1965kzl.html
F3 - REG:win.ini: run=
O2 - BHO: (no name) - {47C6E4E8-7C50-646B-D799-D6DCD9844510} - C:\DOKUME~1\Compy\ANWEND~1\PUREEL~1\rectsoft.exe
O2 - BHO: (no name) - {5A72E16F-A591-5D9F-4948-CDE457B68DC2} - C:\DOKUME~1\Compy\ANWEND~1\PUREEL~1\rectsoft.exe
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll (file missing
O4 - HKLM\..\Run: [avnort] C:\WINDOWS\msmbw.exe
O4 - HKLM\..\Run: [TypeVgaCurbBib] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\viewmeowtypevga\Creativefrag .exe
O4 - HKLM\..\RunServices: [ltwob] C:\WINDOWS\system32\formatsys.exe
O4 - HKLM\..\RunServices: [avnort] C:\WINDOWS\msmbw.exe
O4 - HKLM\..\RunServices: [serpe] C:\WINDOWS\system32\serbw.exe
O4 - HKCU\..\Run: [DateByte] C:\DOKUME~1\Compy\ANWEND~1\SOFTWA~1\longlesssettin gs.exe
O8 - Extra context menu item: &Search - http://h**p://ky.bar.need2find.com/K...arch.html?p=KY

Dann folgende Dateien manuell löschen:
C:\DOKUME~1\Compy\ANWEND~1\PUREEL~1\rectsoft.exe
C:\WINDOWS\msmbw.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\viewmeowtypevga\Creativefrag .exe
C:\WINDOWS\system32\formatsys.exe
C:\WINDOWS\msmbw.exe
C:\WINDOWS\system32\serbw.exe
C:\DOKUME~1\Compy\ANWEND~1\SOFTWA~1\longlesssettin gs.exe

Dann neu starten im Normal-Modus und Systemwiederherstellung wieder aktivieren.
Dann neues Logfile posten.
cacatoa

Edit:
Du solltest Dir Gedanken über einen Virenscanner machen. Wenn du nicht bereit bist, dafür Geld auszugeben, dann lade Dir wenigestens kostenfrei den meiner Meinung nach guten Virenscanner AntiVir herunter, update ihn ständig und lass ihn im Hintergrund laufen.

Hallo cacatoa!
Ich kann irgendwie die Systemwiederherstellung nicht deaktivieren!
Ich gehe Rechtemaustaste aus ARbeitsplatz Eigenschaften und dah habe ich folgende auswahlmöglichkeiten
"Erweitert, Automatische Updates, Remote, Allgemein, Computername & Hardware"
Mein Taskmessenger ist lahm gelegt!
Will ich ihn öffnen schließt er sich DIREKT wieder!
Und Antivir ist ebendfalls Lahmgelegt und Funkts gar nicht mehr!
Gruss Hexe

Hallo KleeneHexe2110

zur Systemwiederherstellung Link klicken

Servus cacatoa :daumenhoc

@ Gigmail,
genau das ist ja mein Problem das das Feld mit der Systemwiederherstellung auf meinem Rechner in den Eigenschaften vom Arbeitsplatz NICHT vvorhanden ist!
Das ist das gleiche wie die Tatsache das Mein Taskmessenger der nicht Funktioniert er öffnet sich und schließt sich sofort wieder.
Also gehe ich davon aus das die letze Möglichkeit ist meinen Rechner zu Formatieren, wobei ich es schade finden würde, da ich eine große Sammlung von datein und liedern auf dem PC habe und nicht unbedingt alles Brennen möchet!
Von daher bleibt mir immer noch die Hoffnung das ich eine andere möglichkeit finde meinen PC von diesen "Plagegeistern" zu befreien
Gruss Hexe

Servus Gigamail :)
Hallo, Hexe,
konntest Du wenigstens die Dinge, die ich gesagt habe, fixen?
Was es mit der Systemwiederherstellung auf sich hat, weiß ich jetzt auch noch nicht.
cacatoa

Ok, das mit der systemwiederherstellung hört sich fast wie das problem dass ich vorgestern mit windows me hatte an^^

Probier mal folgendes:
-klicke auf start,ausführen
-gebe regedit ein
-navigiere durch die "schlüssel HKEY_LOCAL_MACHINE/SOFTWARE/POLICIES/MICROSOFT/WINDOWS NT/SYSTEM RESTORE"
-sind dort rechts einträge? wenn ja poste welche

dann falls da keine sind, probier mal über start,programme,zubehör,systemprogramme,systemwiederherstellung wieder ran zu kommen
poste obs funktioniert hat

Hi, chris14,
danke für die Unterstützung! :daumenhoc
cacatoa

Cacatoa welche sachen denn fixen?
Ich versteh NICHTS mehr bin voll durcheunander!

Und @ Chris14
Wenn ich die Regedeit öffnen will passiert das gleiche wie beim Taskmessenger das schließt sofort wieder das fenster
Und über Start steht da
"Die Systemwiederherstellung wurde aufgrund einer Gruppenrichtlinie deaktiviert . Wenden sie sich an den Domainadminstrator um die Sytsemwiederherstellung zu aktivieren"

Heisst das jetzt das das alles schon deaktiviert ist und ich nur noch im Abgesicherten Modus starten und scannen muss?