Ich hab alles gegeben, diesen Kerl loszuwerden. Ich bin mir nicht sicher, wie ich das Ding drauf bekommen habe, aber los werde ich es NICHT !
Zur ganzen Geschichte : Gestern hat Antivir bei mir einen Trojaner festgestellt (weiss leider nicht mehr welchen) und ab da gings rund. Ich bekam dauernd irgendwelche "Nachrichtendienste" auf meinen PC (die hab ich jetzt ausgeschaltet...) und ab und zu wurde mein Browser (IE) umgeleitet auf http://www.wideopenwest.com/~Tadoow/tim.html...
Ich hab keine Ahnung, was hier schief läuft, aber auf jeden Fall ist da was nicht in Ordnung...

Geb gleich mal nen Hijack-Log mit :

Logfile of HijackThis v1.97.7
Scan saved at 17:32:48, on 28.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
D:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\wuam.exe
C:\WINDOWS\System32\winsl.exe
C:\Programme\Winamp\winampa.exe
C:\WINNT\System32\MSClock\CPCmsclock.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\taskmngr.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Eigene Dateien\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ftd.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [PCTVRemote] D:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\System32\FirstReboot.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Update Config] winsl.exe
O4 - HKLM\..\Run: [Task Manager] taskmngr.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [CPCmsclock] C:\WINNT\System32\MSClock\CPCmsclock.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [Microsoft Update Config] winsl.exe
O4 - HKLM\..\RunServices: [Task Manager] taskmngr.exe
O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKCU\..\Run: [Microsoft Update Config] winsl.exe
O4 - HKCU\..\Run: [Task Manager] taskmngr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...928.3691319444
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9A65E7D-213C-418F-8CDF-C8BD8197C904}: NameServer = 217.237.150.225 194.25.2.129

Für ALLE Hilfe bin ich unentlich dankbar [img]smile.gif[/img] !

Jigga

[ 28. Mai 2004, 17:59: Beitrag editiert von: Jigganigga2k2 ]

Ach Ja... Was noch fehlt : Ich kann komischer Weise ab heute keine Games mehr zocken !!! Painkiller und Far Cry starten nicht mehr :( ! HILFE ?!?!?! (Hatte aber gestern auch nen paar Windooof-Updates installiert (XP)... liegt das daran ?)

OK, hab jetzt mal mit NOD32 gescannt und das hier erhalten :

Arbeitsspeicher ist mit dem Trojaner "IRC/SdBot.ARP" infiziert.

C:\svchost.exe ist mit dem Trojaner "Win32/startpage.AAI" infiziert.

C:\Windows\System32\wuam.exe ist mit dem Trojaner "IRC/SdBot.ARP" infiziert.

C:WINNT\System32\MSClock\RenderxP.exe ist mit dem Trojaner "Win32/Delsha.C" infiziert.

Und die Datei "C:pagefile.sys." kann nicht geöffnet werden..: War mir auch SUSPEKT !

--> HIIIIILLLLLFFFEEEEEEE <--

Na, da hast du ja schon einen (kleinen) Teil weg! [img]smile.gif[/img]

Laut Hijackthis log ist da mehr. Fix mal das:

O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Update Config] winsl.exe
O4 - HKLM\..\Run: [Task Manager] taskmngr.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [CPCmsclock] C:\WINNT\System32\MSClock\CPCmsclock.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [Microsoft Update Config] winsl.exe
O4 - HKLM\..\RunServices: [Task Manager] taskmngr.exe
O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKCU\..\Run: [Microsoft Update Config] winsl.exe
O4 - HKCU\..\Run: [Task Manager] taskmngr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

Starte dann neu und schicke diese Datei: C:\WINNT\System32\MSClock\CPCmsclock.exe bitte an virus@rokop-security.de ich bin mir bei der Datei nicht so sicher, was es sein koennte.

Du kannst ja auch noch diesen Scanner nutzen: http://www.mwti.net/antivirus/free_utilities.asp Er braucht nicht installiert zu werden. Es ist ein reiner on demand Scanner.

Edit: Arbeite dich auch mal hier durch: http://www.rokop-security.de/main/article.php?sid=703

Hi,

1) schau doch mal unten bei VGREP nach Infos/Entfernungsanleitungen

2) ggfs mit KAV (s.u.) auf Fehlalarm prüfen

3) ansonsten PC im abgesicherten Modus (F8-Boot) mit NOD32 scannen und Dateien reparieren bzw in Quarantäne verschieben

4) alle Windowsupdates machen, Freigaben sperren/schützen, alle Passwörter, PINs etc ändern, IE absichern (activeX & scripting deaktivieren, außer für bekannte, SICHERE Seiten etc..)

Details überall im Forum.. ;)

</font><blockquote>Zitat:</font><hr /> 1) schau doch mal unten bei VGREP nach Infos/Entfernungsanleitungen </font>[/QUOTE]gut... Und das heisst im Klartext ??? Sorry, keinen Schimmer was du meinst :( !

</font><blockquote>Zitat:</font><hr /> 2) ggfs mit KAV (s.u.) auf Fehlalarm prüfen
</font>[/QUOTE]hmm... Was KAV ist weiss ich auch nicht... Und Fehlalarm ist eher unmäglich, bei dem Radau der hier abläuft :( !!!

P.s.: Ich hab die Einträge mit Hijack-THis gefixt, aber irgendwie findet NOD die immer noch !!! Was kann ich tun ?

Hab jetzt die Trojans gelöscht im gesicherten Modus... Wie kann man den sicher gehen, dass NIX mehr da ist ??? Und kann man wiederinfektion VERHINDERN =?= (Ich hab eMule laufen... Stört das =?=)

DANKE !!!!