HiJackthis log
 

MSN-Virus :-(

Logfile of HijackThis v1.99.1
[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/showpos...57&postcount=1

danke
GUA
[/edit]

Guten Abend,

NUB
und danach
Suche benutzen


:daumenhoc

ich habe die anleitung schon befolgt und es mit MWAV gemacht, wollte aber nur sicher sein ob es auch funktioniert. sorry wenn ich etwas falsches gemacht habe.

dumme frage, muss ich jetzt die Einträge mit HJT entfernen? wenn ja, dann muss ich ja wissen wo ich die häckchen machen muss, oder?
ich bin mir nicht sicher ob der virus weg ist, habe es gestern mit MWAV probiert, weiss aber nicht ganz,ob es wirklich funktioniert hat.
dieses virus hat glaube ich ja etwas mit toolbar 888 zu tun. dieses ist bei mir jetzt entfernt.

könnt ihr mir sagen, was ich jetzt tun muss? :daumenhoc ;)
ich bedanke mich schon im voraus bei allen die mir helfen :party:

Dachte, du hast den MSN Virus?

Escan ( MWAV ) sucht nur nach Infektionen und entfernt gefundene nicht!

Erstelle ein neues Hijacktis LOG. Editiere aber diesmal alle aktiven Links!
Wie das geht solltest du ja wissen! Ansonsten hat GUA Dir ja nen Link zur Verfügung gestellt, wo es beschrieben wird!


Gruß Mellosun

du meinst ich soll jetzt nochmals hijackthis ausführen und dann die log hier posten ? korrigier mich wenns falsch ist ;-)

es sollten alle links editiert sein, wenn nicht, meldet euch

Logfile of HijackThis v1.99.1
Scan saved at 21:10:20, on 11.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\AGEIA Technologies\TrayIcon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\{6C7D2667-0BB0-1031-0110-050405120029}\Update.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Logitech\Profiler\lwemon.exe
C:\Programme\108Mbps Wireless LAN Adapter\WLANPRO.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\eMule0.47\emule.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.livescore.com/default.dll?page=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.euro.dell.com/
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

(file missing)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Programme\AGEIA Technologies\TrayIcon.exe
O4 - HKLM\..\Run: [ssdiag] C:\WINDOWS\ssdiag.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [Winamp Agent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [EA Core] C:\Programme\Electronic Arts\EA Downloader\Core.exe -silent
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: 108Mbps Wireless LAN Adapter Configuration Utility.lnk = C:\Programme\108Mbps Wireless LAN Adapter\WLANPRO.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Search - h**p://bar.mywebsearch.com/menusearch.html?p=ZNxdm414YYCH
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} -

C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} -

C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) -

h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -

h**p://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - h**p://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,90/mcinsctl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -

h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146680118531
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -

h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) -

h**p://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -

h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) -

h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEEDC309-DBB5-49E2-8FD8-DC01D4DBE118}: NameServer = 62.2.24.162,62.2.17.61
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition

Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update Manager (AVUpdateManager) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\Internet Update Manager\UPDMGR.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame

Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Nochmal Hallo,

sorry, Dir bleibt nur der Weg der Neuinstallation.

Grund:

O4 - HKLM\..\Run: [Winamp Agent] C:\Programme\Winamp\winampa.exe

Ist dieser .

Und noch einige andere!


Da Backdoor, gibt es keine andere Möglichkeit für Dich!
Befolge den Link in meiner SIG zum Neuaufsetzen!


Gruß Mellosun

waaaaaaas????
ist es so schlimm?
kann man da wirklich nichts machen *heul*
bei einer Neuaufsetzung gehen alle Sachen verloren, oder?
aber man kann ja das zeug irgendwo speichern, oder ?
sorry, bin gerade voll geschockt...hehe

p.s. was ich aber komisch find: dieses programm habe ich aus einer (ziemlich) sicheren quelle... tja so es nun mal

Du kannst alles Sichern, was keine Ausführbaren Datein sind.
Worddokument, Musik, Bilder......alles kein Probem!

Nein, es git keine andere möglichkeit. Lese dazu auch die Diversen Links in dem beitrag zum Neuaufsetzen. Zu finden unter:

Was Backdoors können!


Sorry,


Gruß Mellosun

ich habe gerade eine viren-überprüfung gemacht und habe folgende meldung bekommen:
"Beim Suchlauf wurde ein Virus oder ein unerwünschtes Programm gefunden

C:/WINDOWS/System32/alfa.exe
Ist das Trojanische Pferd TR/Dldr.Softomate"

ist es der hier ?

Nein, hab Dir doch den Link eingefüt, was bzw. welcher es ist!

Befolge den Rat...alles andere ist Sinn und Nutzlos!

sorry, wollte nur mal fragen. musst nicht gleich überreagieren.

Ich Übereagiere nicht.....nur wenn hier jedesmal 100erte Leute Frage, gibt es keine andre möglichkeit, dann zerrt das schon irgendwo an den Nerven.
Ihr kommt hierher um Hilfe zu bekommen.....gibt man diese euch, passt es einigen nicht und es wird nichts befolgt!

Geht jetzt nicht gegen Dich..........



Gruß mellosun

ich entschuldige mich.
ist sowieso mal zeit meinen pc mal wider ein bisschen "aufzuräumen"

:eek:
@mellosun:
Woran siehst, du dass das nicht wirklich Winamp ist?
Ich hab Winamp zwar nicht im Autostart, aber meines Wissens, ist der Agent (Updates glaub ich) durchaus im Autostart vertreten.

Ich frag nur weil ich den auch schonmal im Autostart hatte, aber immer dachte ich wäre Malware frei.

lg kathrin

Das ist falsch.

Huch, ich dachte schon ich müßte jetzt auch mein System neu aufsetzen. Den Eintrag habe ich nämlich auch.

Super Aussage. Und was ist es dann Deiner Meinung?

@dellus


Wenn du noch nicht Neuafgesetzt hast, lsse die besagte Datei mal bite online bei Jotti und Virustotal checken. Link in meiner SIG!
Poste das gesamte Ergebnis, einschließlich der dort angegebenen Größe!


@freakyisista

Für Dich gilt das auch. Wenn du wissen willst, ob die bei Dir vorhandene Datei sauber ist, Online Prüfen lassen!


Gruß Mellosun

Der Winamp Agent?

Agobot sieht so aus:
Wenn er erstmals ausgeführt wird, kopiert sich W32/Agobot-GS als winampa.exe in den Windows-Systemordner. Der Wurm erstellt die folgenden Registrierungseinträge, damit er bei der Systemanmeldung gestartet wird:....

Gruß :daumenhoc
Yopie

Das, wonach es aussieht... :rolleyes:

C:\Programme\Winamp\ != Windows-Systemordner

vgl. dazu O4 - HKLM\..\Run: [Winamp Agent] C:\Programme\Winamp\winampa.exe aus dem HjT-Log.
Von dem bei Sophos erwähnten Dienst ist weit und breit auch nichts zu sehen.

Das nächste Mal kopiere ich die relevanten Stellen gleich heraus, damit niemand in die Verlegenheit kommt, die verlinkten Seiten lesen zu müssen. :daumenhoc

Hallo zusammen,

@all:

OK,nachdem ich mir das jetzt nochmal ganz langsam und in Ruhe Zeile für zeile durchgelesen habe, muss ich den Fehler eingestehen.
Ich war da gestern wohl nicht ganz so genau und hätte wohl besser erst die Erläuterung von Sohpos lesen sollen anstatt gleich zu Posten.

Das tut mir Leid und ich werde es mir für die Zukunft merken. Aber das Positive daraus:

Ich habe wieder was gelernt!

Sonst verweise ich ja eigentlich auch erst immer auf Jotti und Virustotal bzw. den eScann aber diesmal leider nicht!
Hoffe, das mein Kopf nicht abgerissen wird.....:kloppen:


Gruß Mellosun

ääähmm... was muss ich jetzt machen also ich hab die verdächtigten Einträge gelöscht.
heisst das jetzt dass ich noch ein virus habe oder nicht?
danke

Kein Problem. Den eScann habe ich schon gemacht und mein PC hat nichts.