Trojaner-Board - Websiteviewer -> Hilfe !!!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Websiteviewer -> Hilfe !!! (https://www.trojaner-board.de/9616-websiteviewer-hilfe.html)

Websiteviewer -> Hilfe !!!

Hallo,

werde diesen Websiteviewer nicht los.
Es wird ein Ordner erstellt und eine Verknüpfung auf dem Desktop mit einer Lady (35235.exe).Auch nach dem löschen wird dieser Ordner und die Verknüpfung installiert.

Hier mein Log

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ATWTUSB.EXE
C:\WINDOWS\SYSTEM\TBLMOUSE.EXE
C:\WINDOWS\SYSTEM\atwtexe.exe
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\CMD32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TEMP\SAB273.TMP.EXE
C:\T-Online\BSW4\ONLINE.EXE
C:\T-ONLINE\BSW4\TODUCALC.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\THOMAS\HIJACK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_5_0.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_5_0.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\cmd32.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe -SetupRunOnce
O4 - HKLM\..\RunOnce: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.250/win32se.chm::/wintbl32.exe
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://sat1.midasplayer.de/midasa.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab

@sleeper
kannst du bitte das logfile mit systeminfos posten?
chaosman

Sorry hier der Nachtrag

Logfile of HijackThis v1.97.7
Scan saved at 12:00:08, on 15.11.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

@sleeper
lade dir der neue version von HJT hier
poste dann ein neues logfile
chaosman

ok, hier nochmal mit der neuen Version

Logfile of HijackThis v1.98.2
Scan saved at 12:25:00, on 15.11.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ATWTUSB.EXE
C:\WINDOWS\SYSTEM\TBLMOUSE.EXE
C:\WINDOWS\SYSTEM\atwtexe.exe
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\CMD32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\T-Online\BSW4\ONLINE.EXE
C:\T-ONLINE\BSW4\TODUCALC.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\THOMAS\HIJACK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_5_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_5_0.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\cmd32.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe -SetupRunOnce
O4 - HKLM\..\RunOnce: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.250/win32se.chm::/wintbl32.exe
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://sat1.midasplayer.de/midasa.cab

@sleeper
du hast dieser hier im system
C:\WINDOWS\SYSTEM\CMD32.EXE
lade dir escan
http://www.mwti.net/antivirus/free_utilities.asp
update es,wie hier hier
beschrieben wird
wechsle in den abgesicherten modus und fixe
4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\cmd32.exe internat.dll,LoadKeyboardProfile
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.250/win32se.chm::/wintbl32.exe

danach manuell löschen
C:\WINDOWS\SYSTEM\CMD32.EXE

danach escan starten.
dauert 1 stunde, danach neu starten und ein neues HJT logfile posten, und die ergebnisse von escan posten
chaosman

So, habe die Anweisungen befolgt.

Hier das escan log file Teil 1

File C:\WINDOWS\loadclean.exe infected by "Trojan-Downloader.Win32.Small.aac" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\questmod.dll infected by "Trojan.Win32.Dialer.bi" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\lppt.exe infected by "TrojanDownloader.Win32.Delf.dg" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\ihindda.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\lppt.exe infected by "TrojanDownloader.Win32.Delf.dg" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\ihindda.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\saE0F0.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa3281.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa6010.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa71D1.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\saA030.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa61A0.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\saB231.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa4132.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa8303.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\saB161.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\saC2D5.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa91E3.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa5186.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\saC372.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\saF0F2.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\saA332.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa92C3.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\saF2B0.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa7153.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa11D0.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa7344.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\saF215.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\saA2F5.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa7173.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\saE170.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\saB0A3.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\saB0F3.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\saA231.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa22A1.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa233.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa7174.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa30E5.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa4104.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\saB311.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa9145.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa4345.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\saA1E3.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\saA131.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa20F3.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa6282.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa7121.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\saD045.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa4323.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa3111.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa4014.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\saB183.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa5224.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\saA191.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\saD274.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa3144.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa7370.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\sa9340.TMP.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Anwendungsdaten\Thunderbird\Profiles\h4ga4j6p.default\Mail\pop.gmx-1.net\Inbox infected by "I-Worm.NetSky.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Anwendungsdaten\Thunderbird\Profiles\h4ga4j6p.default\Mail\pop.gmx-1.net\Trash infected by "I-Worm.NetSky.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Anwendungsdaten\porl.exe tagged as not-a-virus:AdWare.PurityScan.w. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\MediaTicketsInstaller.ocx tagged as not-a-virus:AdWare.MediaTickets.f. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\msits.exe infected by "Trojan-Downloader.Win32.Small.aac" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\P4P9AEK8\doit[1].exe infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\05A3YZ45\125375[1].exe tagged as not-a-virus:PornWare.Downloader.TibSystems. No Action Taken.

Hier Teil 2

File C:\WINDOWS\loadclean.exe infected by "Trojan-Downloader.Win32.Small.aac" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\questmod.dll infected by "Trojan.Win32.Dialer.bi" Virus. Action Taken: No Action Taken.
File C:\RECYCLED\DC0.EXE tagged as not-a-virus:PornWare.Downloader.TibSystems. No Action Taken.
File C:\RECYCLED\DC16.EXE tagged as not-a-virus:PornWare.Downloader.TibSystems. No Action Taken.
File C:\RECYCLED\DC23.EXE tagged as not-a-virus:PornWare.Downloader.TibSystems. No Action Taken.
File C:\RECYCLED\DC24\125375.dlr tagged as not-a-virus:PornWare.Dialer.Tibs. No Action Taken.
File C:\RECYCLED\DC24\125375.exe tagged as not-a-virus:PornWare.Downloader.TibSystems. No Action Taken.
File C:\RECYCLED\DC24\15134772temp.exe tagged as not-a-virus:PornWare.Downloader.TibSystems. No Action Taken.
File C:\RECYCLED\DC34\125375.dlr tagged as not-a-virus:PornWare.Dialer.Tibs. No Action Taken.
File C:\RECYCLED\DC34\125375.exe tagged as not-a-virus:PornWare.Downloader.TibSystems. No Action Taken.
File C:\RECYCLED\DC35.EXE tagged as not-a-virus:PornWare.Downloader.TibSystems. No Action Taken.
File C:\RECYCLED\DC44.EXE tagged as not-a-virus:PornWare.Downloader.TibSystems. No Action Taken.
File C:\RECYCLED\DC45\125375.dlr tagged as not-a-virus:PornWare.Dialer.Tibs. No Action Taken.
File C:\RECYCLED\DC45\125375.exe tagged as not-a-virus:PornWare.Downloader.TibSystems. No Action Taken.
File C:\RECYCLED\DC47.EXE tagged as not-a-virus:PornWare.Downloader.TibSystems. No Action Taken.
File C:\RECYCLED\DC48\125375.dlr tagged as not-a-virus:PornWare.Dialer.Tibs. No Action Taken.
File C:\RECYCLED\DC48\125375.exe tagged as not-a-virus:PornWare.Downloader.TibSystems. No Action Taken.
File C:\RECYCLED\DC49.EXE tagged as not-a-virus:PornWare.Downloader.TibSystems. No Action Taken.
File C:\RECYCLED\DC60.EXE infected by "Trojan-Downloader.Win32.Small.aac" Virus. Action Taken: No Action Taken.
File C:\Programme\WebSiteViewer\125375.dlr tagged as not-a-virus:PornWare.Dialer.Tibs. No Action Taken.
File C:\Programme\WebSiteViewer\125375.exe tagged as not-a-virus:PornWare.Downloader.TibSystems. No Action Taken.
File C:\Thomas\FILM35MM\FILTERDE.ZIP tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\125375.exe tagged as not-a-virus:PornWare.Downloader.TibSystems. No Action Taken.

Hier das HJT Log

Logfile of HijackThis v1.98.2
Scan saved at 13:51:43, on 15.11.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ATWTUSB.EXE
C:\WINDOWS\SYSTEM\TBLMOUSE.EXE
C:\WINDOWS\SYSTEM\atwtexe.exe
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\THOMAS\HIJACK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_5_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_5_0.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe -SetupRunOnce
O4 - HKLM\..\RunOnce: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://sat1.midasplayer.de/midasa.cab

Hallo sleeper,

bei der Menge an Viren bin ich eigentlich geneigt, Dir zu empfehlen Dein System zu formatieren und neu aufzusetzen. Aber wir können ja versuchen, ob da noch was zu retten ist, da Du - soweit ich das bis jetzt gesehen habe, keine wirklich gefährlichen Viren auf dem System hast. Du solltest Dein Surfverhalten aber gründlich überdenken.

Du hast etliche Dialer auf dem System, die Du vor dem löschen auf Diskette sichern solltest, je nachdem wie Du ins Netz gehst (Dialer-Hinweis und www.dialerschutz.de).

Lade das Clear Prog runter, leere damit alle Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

Besuche die Seite Cleaner - Tools, lade Dir das Cleaner-Tool "Anti W32.NetSky (alle Varianten)" runter und reinige damit Deinen Rechner.

Die restliche Malware musst Du von Hand entfernen: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren. Geh in den abgesicherten Modus, öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!

Überprüfe danach Dein System nochmal mit dem eScan, teile uns mit was noch an Malware übrig geblieben ist, erstelle ein weiteres Hijack This Logfile und poste es.

Pflichtlektüre:

- Vorbeugende Maßnahmen
- Entfernungs-Tools
- IE sicher konfigurieren
- www.mathematik.uni-marburg.de
- faq.underflow.de

SD

So, hoffe jetzt alles Ungeziefer los zu sein.
Die Dateien einzeln aus dem Logfile zu suchen und dann zu löschen ist ja sehr Zeitaufwendig, deshalb habe ich mir ein kleines Tool programmiert
das diese Aufgabe für mich übernommen hat.
Es scant das Logfile und löscht dann die betreffenden Dateien.

eScan hat nachdem nichts mehr gefunden.

Hier mein Log von HJT

Logfile of HijackThis v1.98.2
Scan saved at 19:12:15, on 15.11.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\THOMAS\HIJACK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_5_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_5_0.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe -SetupRunOnce
O4 - HKLM\..\RunOnce: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://sat1.midasplayer.de/midasa.cab

Danke für die Tips

@ sleeper

MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800) - Deine IE-Version ist antik, besuche www.windowsupdate.com.

Dein Logfile sieht nun sauber aus.

Zitat:

Die Dateien einzeln aus dem Logfile zu suchen und dann zu löschen ist ja sehr Zeitaufwendig, deshalb habe ich mir ein kleines Tool programmiert das diese Aufgabe für mich übernommen hat. Es scant das Logfile und löscht dann die betreffenden Dateien.

--> Würdest Du uns dieses Programm zum testen zur Verfügung stellen? Kann es allgemein verwendet werden? Wie funktioniert es?

*sehr interessiert dreinschaut*
SD

Das Programm muß in den Ordner kopiert werden, in der sich das Logfile
(mwav.log) von eScan befindet.Nach dem Start scant es jede Zeile des Logfiles nach dem Schlagwort "Infected" ab und löscht (z.Z. ohne Nachfrage)
die betreffende Datei.Wenn Interesse besteht kann ich es dir schicken.

PS: klar kann es allgemein verwendet werden

Zitat:

Zitat von Shadowdance

@ sleeper

MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800) - Deine IE-Version ist antik, besuche www.windowsupdate.com.

Dein Logfile sieht nun sauber aus.

--> Würdest Du uns dieses Programm zum testen zur Verfügung stellen? Kann es allgemein verwendet werden? Wie funktioniert es?

*sehr interessiert dreinschaut*
SD

==> Das Programm das du dir erstellt hast hört spannend an. Ist es möglich zugriff auf dieses programm zu bekommen?

@ sleeper:
auch mal sehen will!!