Trojaner-Board - Bin ich noch infiziert?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Bin ich noch infiziert? (https://www.trojaner-board.de/1583-noch-infiziert.html)

hi

hab von jemandem nen ordner geschickt bekommen und kurz drauf is sofort mein anti virus programm angesprungen, hab auch alle gefundenen viren gelöscht und mein programm sagt auch ich bin clean, aber ich vertrau ihm nicht so wirklich...

kann hiermit jemand was anfangen, und wenn ja bin ich immer noch infiziert?

Logfile of HijackThis v1.97.7
Scan saved at 19:09:37, on 15.12.2003
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\AntiViral Toolkit Pro\avpm.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\regedit.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\doMi\LOKALE~1\Temp\Rar$EX00.502\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://81.211.105.8/search.php?v=1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://81.211.105.8/index.php?v=1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bahn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir..._PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PMXInit] C:\WINNT\system32\pmxinit.exe
O4 - HKLM\..\Run: [APIMon] C:\WINNT\msreg.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - Global Startup: AVP Monitor.lnk = C:\Programme\AntiViral Toolkit Pro\avpm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemp...veSecurity.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...863.6158333333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7464BBD1-1413-42EA-94CB-C3914A7F0375}: NameServer = 217.5.112.21 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{F14A055E-4019-4418-AC66-9175DEC302A4}: NameServer = 192.168.0.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{7464BBD1-1413-42EA-94CB-C3914A7F0375}: NameServer = 217.5.112.21 194.25.2.129

Vielen Dank, MFG doMi

Du hast noch den coolwebsearch Hijacker:
http://www.merijn.org/cwschronicles.htm

<blockquote>Zitat:<hr />Original erstellt von raman:
http://www.merijn.org/cwschronicles.htm [/QUOTE]The requested URL /cwschronicles.htm was not found on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

Aber die Hauptseite ist auch interessant.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Hm, der Link funktioniert hier. Naja Merijn hat seine Hauptseite, wie du schon gemerkt hast(ich nicht! ;) ) jetzt fertig.

<blockquote>Zitat:<hr />Original erstellt von doMi69:
hi

hab von jemandem nen ordner geschickt bekommen und kurz drauf is sofort mein anti virus programm angesprungen, hab auch alle gefundenen viren gelöscht und mein programm sagt auch ich bin clean, aber ich vertrau ihm nicht so wirklich...

kann hiermit jemand was anfangen, und wenn ja bin ich immer noch infiziert?

Logfile of HijackThis v1.97.7
Scan saved at 19:09:37, on 15.12.2003
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\AntiViral Toolkit Pro\avpm.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\regedit.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\doMi\LOKALE~1\Temp\Rar$EX00.502\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://81.211.105.8/search.php?v=1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://81.211.105.8/index.php?v=1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bahn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir..._PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PMXInit] C:\WINNT\system32\pmxinit.exe
O4 - HKLM\..\Run: [APIMon] C:\WINNT\msreg.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - Global Startup: AVP Monitor.lnk = C:\Programme\AntiViral Toolkit Pro\avpm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemp...veSecurity.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...863.6158333333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7464BBD1-1413-42EA-94CB-C3914A7F0375}: NameServer = 217.5.112.21 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{F14A055E-4019-4418-AC66-9175DEC302A4}: NameServer = 192.168.0.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{7464BBD1-1413-42EA-94CB-C3914A7F0375}: NameServer = 217.5.112.21 194.25.2.129

Vielen Dank, MFG doMi [/QUOTE]Dieses APImon lässt mich daran zweifeln ob du wirklich clean bist,

ich hab nämlich Freshbind2 von EVILEYESOFTWARE und wenn man will kann man ein gebundenes Programm jedes mal booten lassen, und APImon ist der standardname von dem Registry-Key.

Updreg.exe ist soweit ich weiß ne datei von dem Agobot, bin mir da aber nicht so sicher...

Sehr seltsam...