Trojaner-Board - Ich bin VERZWEIFELT

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Ich bin VERZWEIFELT (https://www.trojaner-board.de/13434-verzweifelt.html)

Ich bin VERZWEIFELT

Hallo,
ich bin suuperverzweifelt! :heulen:
O.K. ich erzähle mal...habe vor einer Woche mein Antivir upgedatet und gescannt, das hat dann auch gleich vier Dialer gefunden und gelöscht, ich war erleichtert!
Doch dann...plötzlich eine "neue" Startseite im IE und die Antivir-Warnung, daß sei der Trojaner Tr.Dldr.WinSh(oder so ähnlich).
Okay, ich mich hier umgeschaut, und einige Tips befolgt (im abgesicherten Modus...) und dann fand und löschte Antivir folgende Trojaner:
HideProc, Lefeat, Lefeat1,Dldr.Agent.BC,Tipser...
au Backe, aber dieser WinSh. war nicht dabei.
Ich trotzdem extrem zuversichtlich und zufrieden und stelle aber fest,
daß im Outlook mein Adressbuch gelöscht ist :eek: (ich Depp habe es natürlich nicht gesichert)!
UND, daß ich seitdem nicht mehr ins Netz komme, KEN geht mit einer 0190-Nr. immer beim hochfahren rein und die Seiten , die ich aufrufe, bauen sich halb auf und dann bricht irgendwie die Verbindung ab!
Jetzt bin ich natürlich sehr verzweifelt, da ich z.B. Hijackthis nicht runterladen kann und auch nicht an Euch posten!
Was soll ich bloß jetzt tun?
Kann mir einer helfen?

Viele Grüße
Martina

P.S. Vielleicht sollte ich noch erwähnen, daß ich nicht gerade der Vollprofi auf diesem Gebiet bin!

hmm...
-lade dir escan runter und gehe genau nach dieser anleitung vor
-wenn der scan fertig ist, öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-erstelle ein hijackthis log wie es auf http://www.trojaner-board.de/51130-a...ijackthis.html steht und poste es

Zitat:

Zitat von Chris14

Hallo Chris,
danke, für deine sekundenschnelle Antwort, aber mein Problem ist ja, daß ich an besagtem PC nicht ins Netz komme (bin hier bei der Arbeit)!
Kann ich das ganze vielleicht irgendwie auf CD brennen und hin und her transportieren?

Martina

Genau das solltest du machen. :) Am besten du verfährst mit E-Scan an deinem Rechner wie im Link beschrieben und updatest es, dann brennst du den gesamten bases-Ordner auf CD oder kopierst ihn auf einen USB-Stick oder was auch immer. Den Ordner fügst du dann so auf deinem PC daheim wieder ein. Vielleicht solltest du dir auch noch einen der alternativen Browser wie opera odre firefox brennen und mal versuchen, ob du damit ins Netz kommst, andererseits ist es sicher besser, wenn du mit dem Rechner erst mal offline bleibst, wenn er sich immer mit einer 0190er Nummer einwählt. Du solltest auch erstmal nix löschen, da man Dialer vorher auch erst mal sicher sollte, fall es zu Streit mit der Telekom kommt.

Guten Morgen,
o.k. danke für die nette Hilfe bisher.
Werde mich erstmal in diese Datentransports-Aktion stürzen und mich wieder melden!

Danke nochmal
MfG
Martina

Hallo,

konnte leider e-scan nicht runterladen, habe aber dafür Hijack und adaware, ich hoffe, das bringt auc

Logfile of HijackThis v1.99.0
Scan saved at 17:14:10, on 10.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\KEN!\KENSERV.EXE
C:\Programme\PTBSync\PTBSync.exe
C:\Programme\KEN!\KENINET.EXE
C:\Programme\KEN!\KENPROXY.EXE
C:\Programme\KEN!\KENMAIL.EXE
C:\Programme\KEN!\KENDNS.EXE
C:\Programme\KEN!\KENSOCKS.EXE
C:\Programme\KEN!\KENMAP.EXE
C:\Programme\KEN!\KENFTPGW.EXE
C:\WINNT\system32\regsvc.exe
C:\Programme\KEN!\KENWATCH.EXE
C:\Programme\KEN!\KENCRON.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\WFXSVC.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\starter.exe
C:\Programme\KEN!\kentbsrv.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\PTBSync\PTBSync.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINNT\system32\wfxsnt40.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\WINNT\system32\internat.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\Symantec\WinFax\WFXCTL32.EXE
C:\WINNT\System32\MsiExec.exe
C:\WINNT\explorer.exe
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\solrh.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\solrh.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\solrh.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\solrh.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\solrh.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\solrh.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\solrh.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:3128;https=127.0.0.1:3128;ftp=127.0.0.1:3128;socks=127.0.0.1:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {B91005C7-45A5-5C8D-14AA-88AE5DF77B1D} - C:\WINNT\winfc32.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [KEN Taskbar Service] "C:\Programme\KEN!\kentbsrv.exe"
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [SysMon] C:\winnt\system32\mswkuke32.exe
O4 - HKLM\..\Run: [d3sd.exe] C:\WINNT\d3sd.exe
O4 - HKLM\..\Run: [tibs3] C:\WINNT\system32\tibs3.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Controller.LNK = C:\Programme\Symantec\WinFax\WFXCTL32.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://127.0.0.1:3128/ken2000.html
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.downloadintern.de/Ins...sAssistent.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{76837144-AB5F-46F9-8240-C130DA3C8AE0}: NameServer = 192.168.114.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{76837144-AB5F-46F9-8240-C130DA3C8AE0}: NameServer = 192.168.114.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{76837144-AB5F-46F9-8240-C130DA3C8AE0}: NameServer = 192.168.114.254
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: AVM KEN - AVM Berlin - C:\Programme\KEN!\KENSERV.EXE
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Atomuhr Synchronisation - ElmüSoft - C:\Programme\PTBSync\PTBSync.exe
O23 - Service: WinFax PRO - Symantec Corporation - C:\WINNT\system32\WFXSVC.EXE
O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINNT\system32\d3cm.exe (file missing)

h was.

Soo, die zweite

Ad-Aware SE Build 1.05
Logfile Created on:Donnerstag, 10. Februar 2005 17:32:15
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R8 13.09.2004
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Alexa(TAC index:5):8 total references
IELoader(TAC index:7):6 total references
MainPean Dialer(TAC index:5):11 total references
TIB Browser(TAC index:4):1 total references
Tracking Cookie(TAC index:3):7 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects

10.02.2005 17:32:15 - Scan started. (Full System Scan)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 112
ThreadCreationTime : 10.02.2005 16:20:26
BasePriority : Normal

#:2 [csrss.exe]
FilePath : \??\C:\WINNT\system32\
ProcessID : 140
ThreadCreationTime : 10.02.2005 16:20:40
BasePriority : Normal

#:3 [winlogon.exe]
FilePath : \??\C:\WINNT\system32\
ProcessID : 160
ThreadCreationTime : 10.02.2005 16:20:41
BasePriority : High

#:4 [services.exe]
FilePath : C:\WINNT\system32\
ProcessID : 188
ThreadCreationTime : 10.02.2005 16:20:44
BasePriority : Normal
FileVersion : 5.00.2195.6700
ProductVersion : 5.00.2195.6700
ProductName : Betriebssystem Microsoft(R) Windows (R) 2000
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1999
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINNT\system32\
ProcessID : 200
ThreadCreationTime : 10.02.2005 16:20:44
BasePriority : Normal
FileVersion : 5.00.2195.6695
ProductVersion : 5.00.2195.6695
ProductName : Betriebssystem Microsoft(R) Windows (R) 2000
CompanyName : Microsoft Corporation
FileDescription : LSA-Exe und Server-DLL
InternalName : lsasrv.dll and lsass.exe
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1999
OriginalFilename : lsasrv.dll and lsass.exe

#:6 [svchost.exe]
FilePath : C:\WINNT\system32\
ProcessID : 344
ThreadCreationTime : 10.02.2005 16:20:49
BasePriority : Normal
FileVersion : 5.00.2134.1
ProductVersion : 5.00.2134.1
ProductName : Microsoft(R) Windows (R) 2000 Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1999
OriginalFilename : svchost.exe

#:7 [winmgmt.exe]
FilePath : C:\WINNT\System32\WBEM\
ProcessID : 380
ThreadCreationTime : 10.02.2005 16:20:51
BasePriority : Normal
FileVersion : 1.50.1085.0100
ProductVersion : 1.50.1085.0100
ProductName : Windows Management Instrumentation
CompanyName : Microsoft Corporation
FileDescription : Windows-Verwaltungsinstrumentation
InternalName : WINMGMT
LegalCopyright : Copyright (C) Microsoft Corp. 1995-1999

#:8 [explorer.exe]
FilePath : C:\WINNT\
ProcessID : 244
ThreadCreationTime : 10.02.2005 16:22:50
BasePriority : Normal
FileVersion : 5.00.3700.6690
ProductVersion : 5.00.3700.6690
ProductName : Betriebssystem Microsoft(R) Windows (R) 2000
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1999
OriginalFilename : EXPLORER.EXE

#:9 [explorer.exe]
FilePath : C:\WINNT\
ProcessID : 316
ThreadCreationTime : 10.02.2005 16:26:30
BasePriority : Normal
FileVersion : 5.00.3700.6690
ProductVersion : 5.00.3700.6690
ProductName : Betriebssystem Microsoft(R) Windows (R) 2000
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1999
OriginalFilename : EXPLORER.EXE

#:10 [ad-aware.exe]
FilePath : C:\PROGRA~1\Lavasoft\AD-AWA~1\
ProcessID : 456
ThreadCreationTime : 10.02.2005 16:32:00
BasePriority : Normal
FileVersion : 6.2.0.206
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

#:11 [hh.exe]
FilePath : C:\WINNT\
ProcessID : 460
ThreadCreationTime : 10.02.2005 16:32:00
BasePriority : Normal
FileVersion : 5.2.3644.0
ProductVersion : 5.2.3644.0
ProductName : HTML Help
CompanyName : Microsoft Corporation
FileDescription : Microsoft® HTML Help Executable
InternalName : HH 1.4
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : HH.exe

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0

Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Alexa Object Recognized!
Type : Regkey
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}

Alexa Object Recognized!
Type : RegValue
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : MenuText

Alexa Object Recognized!
Type : RegValue
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : MenuStatusBar

Alexa Object Recognized!
Type : RegValue
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : Script

Alexa Object Recognized!
Type : RegValue
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : clsid

Alexa Object Recognized!
Type : RegValue
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : Icon

und die dritte :o

Alexa Object Recognized!
Type : RegValue
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : clsid

Alexa Object Recognized!
Type : RegValue
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : Icon

AAd-Aware SE Build 1.05
Logfile Created on:Donnerstag, 10. Februar 2005 17:32:15
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R8 13.09.2004
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Alexa(TAC index:5):8 total references
IELoader(TAC index:7):6 total references
MainPean Dialer(TAC index:5):11 total references
TIB Browser(TAC index:4):1 total references
Tracking Cookie(TAC index:3):7 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects

10.02.2005 17:32:15 - Scan started. (Full System Scan)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 112
ThreadCreationTime : 10.02.2005 16:20:26
BasePriority : Normal

#:2 [csrss.exe]
FilePath : \??\C:\WINNT\system32\
ProcessID : 140
ThreadCreationTime : 10.02.2005 16:20:40
BasePriority : Normal

#:3 [winlogon.exe]
FilePath : \??\C:\WINNT\system32\
ProcessID : 160
ThreadCreationTime : 10.02.2005 16:20:41
BasePriority : High

#:4 [services.exe]
FilePath : C:\WINNT\system32\
ProcessID : 188
ThreadCreationTime : 10.02.2005 16:20:44
BasePriority : Normal
FileVersion : 5.00.2195.6700
ProductVersion : 5.00.2195.6700
ProductName : Betriebssystem Microsoft(R) Windows (R) 2000
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1999
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINNT\system32\
ProcessID : 200
ThreadCreationTime : 10.02.2005 16:20:44
BasePriority : Normal
FileVersion : 5.00.2195.6695
ProductVersion : 5.00.2195.6695
ProductName : Betriebssystem Microsoft(R) Windows (R) 2000
CompanyName : Microsoft Corporation
FileDescription : LSA-Exe und Server-DLL
InternalName : lsasrv.dll and lsass.exe
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1999
OriginalFilename : lsasrv.dll and lsass.exe

#:6 [svchost.exe]
FilePath : C:\WINNT\system32\
ProcessID : 344
ThreadCreationTime : 10.02.2005 16:20:49
BasePriority : Normal
FileVersion : 5.00.2134.1
ProductVersion : 5.00.2134.1
ProductName : Microsoft(R) Windows (R) 2000 Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1999
OriginalFilename : svchost.exe

#:7 [winmgmt.exe]
FilePath : C:\WINNT\System32\WBEM\
ProcessID : 380
ThreadCreationTime : 10.02.2005 16:20:51
BasePriority : Normal
FileVersion : 1.50.1085.0100
ProductVersion : 1.50.1085.0100
ProductName : Windows Management Instrumentation
CompanyName : Microsoft Corporation
FileDescription : Windows-Verwaltungsinstrumentation
InternalName : WINMGMT
LegalCopyright : Copyright (C) Microsoft Corp. 1995-1999

#:8 [explorer.exe]
FilePath : C:\WINNT\
ProcessID : 244
ThreadCreationTime : 10.02.2005 16:22:50
BasePriority : Normal
FileVersion : 5.00.3700.6690
ProductVersion : 5.00.3700.6690
ProductName : Betriebssystem Microsoft(R) Windows (R) 2000
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1999
OriginalFilename : EXPLORER.EXE

#:9 [explorer.exe]
FilePath : C:\WINNT\
ProcessID : 316
ThreadCreationTime : 10.02.2005 16:26:30
BasePriority : Normal
FileVersion : 5.00.3700.6690
ProductVersion : 5.00.3700.6690
ProductName : Betriebssystem Microsoft(R) Windows (R) 2000
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1999
OriginalFilename : EXPLORER.EXE

#:10 [ad-aware.exe]
FilePath : C:\PROGRA~1\Lavasoft\AD-AWA~1\
ProcessID : 456
ThreadCreationTime : 10.02.2005 16:32:00
BasePriority : Normal
FileVersion : 6.2.0.206
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

#:11 [hh.exe]
FilePath : C:\WINNT\
ProcessID : 460
ThreadCreationTime : 10.02.2005 16:32:00
BasePriority : Normal
FileVersion : 5.2.3644.0
ProductVersion : 5.2.3644.0
ProductName : HTML Help
CompanyName : Microsoft Corporation
FileDescription : Microsoft® HTML Help Executable
InternalName : HH 1.4
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : HH.exe

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0

Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Alexa Object Recognized!
Type : Regkey
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}

Alexa Object Recognized!
Type : RegValue
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : MenuText

Alexa Object Recognized!
Type : RegValue
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : MenuStatusBar

Alexa Object Recognized!
Type : RegValue
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : Script

Alexa Object Recognized!
Type : RegValue
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : clsid

Alexa Object Recognized!
Type : RegValue
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : Icon

o.k. sorry

Alexa Object Recognized!
Type : RegValue
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : Icon

Alexa Object Recognized!
Type : RegValue
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : HotIcon

Alexa Object Recognized!
Type : RegValue
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : ButtonText

IELoader Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : clsid\{00000000-7777-0704-0b53-2c8830e9faec}\inprocserver32

IELoader Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : clsid\{00000000-7777-0704-0b53-2c8830e9faec}\inprocserver32
Value :

IELoader Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : clsid\{00000000-7777-0704-0b53-2c8830e9faec}

IELoader Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\code store database\distribution units\{00000000-7777-0704-0b53-2c8830e9faec}

IELoader Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\code store database\distribution units\{00000000-7777-0704-0b53-2c8830e9faec}
Value : SystemComponent

IELoader Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\code store database\distribution units\{00000000-7777-0704-0b53-2c8830e9faec}
Value : Installer

MainPean Dialer Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\intexusdial

MainPean Dialer Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\intexusdial
Value : Pre

MainPean Dialer Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\intexusdial
Value : PreNumber

MainPean Dialer Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\intexusdial
Value : DeviceName

MainPean Dialer Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\intexusdial
Value : Country

MainPean Dialer Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\intexusdial
Value : Language

MainPean Dialer Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\intexusdial
Value : Machine

MainPean Dialer Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\intexusdial
Value : InstallFlags

MainPean Dialer Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\intexusdial
Value : PassFlags

MainPean Dialer Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\intexusdial
Value : Password

TIB Browser Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_USERS
Object : S-1-5-21-1993962763-1580436667-854245398-1000\software\websiteviewer

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 25
Objects found so far: 25
Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Tracking Cookie Object Recognized!
Type : IECache Entry
Data : tobias schrade@as-eu.falkag[3].txt
Category : Data Miner
Comment : Hits:8
Value : Cookie:tobias schrade@as-eu.falkag.net/
Expires : 10.02.2006 12:13:08
LastSync : Hits:8
UseCount : 0
Hits : 8

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : tobias schrade@a.as-eu.falkag[1].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Tobias Schrade\Cookies\tobias schrade@a.as-eu.falkag[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : tobias schrade@a.as-eu.falkag[2].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Tobias Schrade\Cookies\tobias schrade@a.as-eu.falkag[2].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : tobias schrade@as-eu.falkag[1].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Tobias Schrade\Cookies\tobias schrade@as-eu.falkag[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : tobias schrade@as1.falkag[1].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Tobias Schrade\Cookies\tobias schrade@as1.falkag[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : tobias schrade@as1.falkag[2].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Tobias Schrade\Cookies\tobias schrade@as1.falkag[2].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : tobias schrade@doubleclick[2].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Tobias Schrade\Cookies\tobias schrade@doubleclick[2].txt

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 7
Objects found so far: 32
Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

MainPean Dialer Object Recognized!
Type : Folder
Category : Malware
Comment : MainPean
Object : C:\Dokumente und Einstellungen\Tobias Schrade\Startmenü\Programme\- Routenplanung -

E-Scan wäre wichtiger als Adaware, schade, ich hoffe, es geht dann nach dem Säubern.

Starte in den abgesicherten Modus:

http://www.trojaner-board.de/63335-w...ml#Windows2000

Fixe mit Hjt:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\solrh.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\solrh.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\solrh.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\solrh.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\solrh.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\solrh.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\solrh.dll/sp.html#12345
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {B91005C7-45A5-5C8D-14AA-88AE5DF77B1D} - C:\WINNT\winfc32.dll (file missing)
O4 - HKLM\..\Run: [SysMon] C:\winnt\system32\mswkuke32.exe
O4 - HKLM\..\Run: [d3sd.exe] C:\WINNT\d3sd.exe
O4 - HKLM\..\Run: [tibs3] C:\WINNT\system32\tibs3.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.downloadintern.de/In...nsAssistent.ocx
O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINNT\system32\d3cm.exe (file missing)

Lösche danach die in den Links aufgeführten Dateien, so du sie findest und starte wieder normal. Ich hoffe, du kannst danach dann mal E-Scan anwenden.

E-Scan wäre wichtiger als Adaware, schade, ich hoffe, es geht dann nach dem Säubern.

Starte in den abgesicherten Modus:

http://www.trojaner-board.de/63335-w...ml#Windows2000

Fixe mit Hjt:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\solrh.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\solrh.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\solrh.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\solrh.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\solrh.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\solrh.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\solrh.dll/sp.html#12345
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {B91005C7-45A5-5C8D-14AA-88AE5DF77B1D} - C:\WINNT\winfc32.dll (file missing)
O4 - HKLM\..\Run: [SysMon] C:\winnt\system32\mswkuke32.exe
O4 - HKLM\..\Run: [d3sd.exe] C:\WINNT\d3sd.exe
O4 - HKLM\..\Run: [tibs3] C:\WINNT\system32\tibs3.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.downloadintern.de/In...nsAssistent.ocx
O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINNT\system32\d3cm.exe (file missing)

Sichere die in den Links aufgeführten Dateien auf Diskette, lösche sie danach, so du sie findest und starte wieder normal. Ich hoffe, du kannst danach dann mal E-Scan anwenden.