Trojander: "Trojan-spy.html.smitfraud.c" macht mir die hölle heiss
 

hi leute,

ich hab dummerweise meine firewall kurz abgeschaltet und dann bin ich ins internet ohne die firewall wieder einzuschalten...MÄCHTIG GROßER FEHLER! :(

Ich bereues es jetzt gerade.

Plötzlich hat sich in weniger als einer sekunde en trojaner voll ein meinen pc eingelebt...schei***

also folgendes:

System:
Mein Betriebssystem: Windows XP SP1
Virenscanner: AntiVir
Browser: Mozilla Firefox

so...mein antivir erkennt jetzt keinen trojaner mehr auf meiner festplatte, jedoch habe ich immernoch als desktophintergrund folgenden text mit dem tolles blauen hintergrund:

"A fatal error in IE has occured at 0028:C0011E36 in VXD VMM(01) + 00010E36. Error was caused by Trojan-Spy.HTML.Smitfraud.c"

ich hab merkwürdige dateien drauf wie zb.:
istsvc.exe
sys004.exe
sysinit32p2.exe

und die kommen mir nicht gerade bekannt vor, vllt. gehören sie ja doch zu windows...ich weis nicht..HILFE

HILFE ich kann nicht mehr viel machen mit dem PC, ich hoffe ihr könnt mir so schnell wie möglich helfen.

DANKE schon mal im vorraus

Gruß Spain


Hier mal die Logfile von Hijackthis:



Logfile of HijackThis v1.98.2
Scan saved at 20:04:34, on 05.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe
f:\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\CleverCache\OOCCSVC.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\sysinit32p2.exe
C:\WINDOWS\inet20013\services.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
F:\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\sys004.exe
C:\Programme\ISTsvc\istsvc.exe
F:\CursorXP\CursorXP.exe
C:\bsw.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
f:\Super Spyware Remover\SuperSpywareRemover.exe
F:\Eigene Dateien\Downloads NEW\programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.search-paga.com/10040/
F2 - REG:system.ini: Shell=Explorer.exe sysinit32p2.exe
F3 - REG:win.ini: run=C:\WINDOWS\inet20013\services.exe
O1 - Hosts: <html>
O1 - Hosts: <head>
O1 - Hosts: <meta http-equiv="Content-Language" content="en-us">
O1 - Hosts: <title>P2dll.com install toolbar</title>
O1 - Hosts: <meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
O1 - Hosts: <link href="style.css" rel="stylesheet" type="text/css">
O1 - Hosts: </head>
O1 - Hosts: <body bgcolor="#FFFFFF" background="images/layout_55.gif" leftmargin="0" topmargin="0" marginwidth="0" marginheight="0">
O1 - Hosts: <!-- ImageReady Slices (layout.psd) -->
O1 - Hosts: <table id="Table_01" width="100" height="651" border="0" cellpadding="0" cellspacing="0">
O1 - Hosts: <!-- MSTableType="nolayout" -->
O1 - Hosts: <tr>
O1 - Hosts: <td colspan="11">
O1 - Hosts: <img src="images/layout_01.gif" width="470" height="104" alt=""></td>
O1 - Hosts: <td colspan="5">
O1 - Hosts: <img src="images/layout_02.gif" width="302" height="104" alt=""></td>
O1 - Hosts: <td width="100" rowspan="8" background="images/layout_03.gif">
O1 - Hosts: <img src="images/layout_03.gif" width="8" height="294" alt=""></td>
O1 - Hosts: <td>
O1 - Hosts: <img src="images/spacer.gif" width="1" height="104" alt=""></td>
O1 - Hosts: </tr>
O1 - Hosts: <tr>
O1 - Hosts: <td>
O1 - Hosts: <img src="images/layout_04.gif" width="16" height="42" alt=""></td>
O1 - Hosts: <td>
O1 - Hosts: <A href=/><img src="images/layout_05.gif" width="81" height="42" alt="" border=0></A></td>
O1 - Hosts: <td>
O1 - Hosts: <img src="images/layout_06.gif" width="18" height="42" alt=""></td>
O1 - Hosts: <td colspan="2">
O1 - Hosts: <A href=index?name=about><img src="images/layout_07.gif" width="72" height="42" alt="" border=0></A></td>
O1 - Hosts: <td>
O1 - Hosts: <img src="images/layout_08.gif" width="18" height="42" alt=""></td>
O1 - Hosts: <td>
O1 - Hosts: <A href=write><img src="images/layout_09.gif" width="83" height="42" alt="" border=0></A></td>
O1 - Hosts: <td>
O1 - Hosts: <img src="images/layout_10.gif" width="20" height="42" alt=""></td>
O1 - Hosts: <td>
O1 - Hosts: <A href=index?name=terms><img src="images/layout_11.gif" width="95" height="42" alt="" border=0></A></td>
O1 - Hosts: <td>
O1 - Hosts: <img src="images/layout_12.gif" width="17" height="42" alt=""></td>
O1 - Hosts: <td colspan="3">
O1 - Hosts: <A href=index?name=about><img src="images/layout_13.gif" width="120" height="42" alt="" border=0></A></td>
O1 - Hosts: <td c
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\adobe\reader 5\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20013\3.00.05.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "f:\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "F:\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [sys004] C:\WINDOWS\System32\sys004.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20013\services.exe
O4 - HKLM\..\Run: [AVShell] C:\WINDOWS\System32\loader.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CursorXP] f:\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20013\services.exe
O4 - HKCU\..\Run: [WindowsFY] c:\bsw.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://h**p://messenger.zone.msn.com...t.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://h**p://messenger.zone.msn.com...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://h**p://messenger.zone.msn.com...o.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{255DFF28-11D3-4E82-9102-F5FCA416B9F5}: NameServer = 192.168.122.252,192.168.122.253

Hallo,

das war in der Tat äusserst unklug. Es wäre aber trotzdem nichts passiert, wenn dein System voll gepatcht wäre!

Arbeite diesen Lösungsweg ab -> http://www.trojaner-board.de/showpos...9&postcount=51

btw:
Was ist denn mit deinem Log-File passiert?

warum?was soll mit meiner log-file passiert sein?..ist da etwa alles ok???

also ich glaub schon das da fehler sind..oder nicht?...ich weisss es nicht :\

Der HTML Code in den O1 Einträge.

Fehler sind genügend in deinem Log-File! Führe deshalb den Lösunsweg aus und dann sehen wir weiter.

versuch ich ja auszuführen, aber ich kann das prgramm "killbox.exe" nicht finden zum downloaden, und der link funktioniert nicht :(

also der link geht schon...aber ich weis nicht wo ich das programm da finden soll :\

Dann lade hier KillBox runter.

danke :D geht alles wieder :) ...aber...jetzt hab ich ein neues probl. hab mir glaube einen wurm eingefangen doer so was :\ ...

die "mmrtkrnl.exe" ist bei mir in der autostart :\ und paar andere komische sachen, und mein logfile sieht auch komisch aus :( ...

helft mir mal bitte das hinzubekommen :\

hab forhin mein pc hochgefahren, und dann hatte ich NUR meinen desktophintergrund, sonnst NIX, keine taskleite unten :\...jetzt hab ich systemcleaner gestartet und jett hab ich diese leite wieder...aber wiegesagt,,...guckt euch einfach mal bitt e meine logfile an:


Logfile of HijackThis v1.98.2
Scan saved at 19:01:11, on 12.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\CleverCache\OOCCSVC.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe
f:\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\system32\sysinit32p2.exe
F:\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\sysinit32p2.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
F:\Firefox\firefox.exe
F:\Eigene Dateien\Downloads NEW\programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://h**p://69.50.190.135/?to=FED&...ype=start_page
F2 - REG:system.ini: Shell=Explorer.exe sysinit32p2.exe, msmsgs.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\adobe\reader 5\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20013\3.00.05.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "f:\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20013\services.exe
O4 - HKLM\..\Run: [AVShell] C:\WINDOWS\System32\loader.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://h**p://messenger.zone.msn.com...t.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://h**p://messenger.zone.msn.com...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://h**p://messenger.zone.msn.com...o.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{255DFF28-11D3-4E82-9102-F5FCA416B9F5}: NameServer = 192.168.122.252,192.168.122.253

_____________
Anm.
Aktive Links editiert!
Beachte die Hinweise dieser Anleitung: HiJackThis

LG Cidre
S-Mod TB

Ehrlich gesagt, wundert es mich nicht, denn dein System ist sowas von jungfäulich...

Scanne mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information.

mein system ist jungfräulich? :heulen: naja...was solls...aber ich probier das jetzt mal mit diesem virusscanner den du da erwähnt hast, kann ich den aber trotzdeminstallieren obwohl ich antivir drauf hab????

Wenn du eScan, wie von mir beschrieben, im abgesicherten Modus ausführst, dann Nein.

wieso geht das nicht???? hm...zu spät, hab jetzt schon installiert bzw. entpackt und gescannt :\...und jetzt?..soll ich dir mal den LOG schicken?...scheisse man der hat 48 dateien auf meim rechner infiziert :headbang:

also hier ist der VirusLog, und was soll ich jetzt machen?

File C:\WINDOWS\system32\msmsgs.exe infected by "Trojan-Downloader.Win32.Zlob.i" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\loader.exe infected by "Trojan-Downloader.Win32.Small.ato" Virus. Action Taken: No Action Taken.
File System Found infected by "CWS.YExe Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "SideFind Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "SideFind Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "SideFind Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "SideFind Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "sidefind Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "istbar Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "istbar Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\sys1756.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\sys1759.exe infected by "Trojan.Win32.StartPage.yb" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\sys181.exe infected by "Trojan-Downloader.Win32.CWS.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\sys1833.exe infected by "Trojan-Downloader.Win32.CWS.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\sys1837.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\sys1839.exe infected by "Trojan-Downloader.Win32.Agent.le" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\sys1912.exe infected by "Trojan-Downloader.Win32.CWS.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\sys1930.exe infected by "Trojan-Downloader.Win32.Small.ato" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\dstart2.exe infected by "Trojan.Win32.Dialer.ht" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\dstart4.exe infected by "Trojan-Dropper.Win32.Agent.kf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\steal.dll infected by "Trojan-Downloader.Win32.Small.ato" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\sysinit32p2.exe infected by "Trojan-Downloader.Win32.Small.aqi" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\steal.dll infected by "Trojan-Downloader.Win32.Small.ato" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sysinit32p2.exe infected by "Trojan-Downloader.Win32.Small.aqi" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\wt\wtupdates\wtwebdriver\files\2.2.0.100\wtvh.dll infected by "not-a-virus:AdWare.WildTangent.b" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\wt\wtvh.dll infected by "not-a-virus:AdWare.WildTangent.b" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\sys1756.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\sys1759.exe infected by "Trojan.Win32.StartPage.yb" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\sys181.exe infected by "Trojan-Downloader.Win32.CWS.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\sys1833.exe infected by "Trojan-Downloader.Win32.CWS.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\sys1837.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\sys1839.exe infected by "Trojan-Downloader.Win32.Agent.le" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\sys1912.exe infected by "Trojan-Downloader.Win32.CWS.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\sys1930.exe infected by "Trojan-Downloader.Win32.Small.ato" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\dstart2.exe infected by "Trojan.Win32.Dialer.ht" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\dstart4.exe infected by "Trojan-Dropper.Win32.Agent.kf" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Spanish Style\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-6699b1e6-77e96bcb.zip infected by "Trojan-Downloader.Java.OpenConnection.aa" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\WLDR.DLL.VIR infected by "Trojan-Downloader.Win32.Agent.le" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\WLDR.DLL.001 infected by "Trojan-Downloader.Win32.Agent.le" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\WLDR.DLL.002 infected by "Trojan-Downloader.Win32.Agent.le" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\WLDR.DLL.003 infected by "Trojan-Downloader.Win32.Agent.le" Virus. Action Taken: No Action Taken.
File C:\Programme\ISTsvc\istsvc.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\Programme\SideFind\update\sidefind.exe infected by "Trojan-Downloader.Win32.IstBar.jd" Virus. Action Taken: No Action Taken.
File C:\Programme\SideFind\sidefind.dll infected by "not-a-virus:AdWare.ToolBar.SideFind" Virus. Action Taken: No Action Taken.
File F:\Eigene Dateien\Downloads NEW\programme\tv karte\WINTV_PCI_DRIVER_V3_11__FUE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\von E\Games\Prince\1.EXE tagged as not-a-virus:LogoPicture.PH13. No Action Taken.

so ich hab die jetzt mit dem tool e scan check oder wie das heisst hab ich jetzt all diese dateinen gelöscht...aber was mach ich jetzt mit der LogFile von Hijack???

helft mir bitte... :(


Logfile of HijackThis v1.98.2
Scan saved at 22:44:25, on 12.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe
f:\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.EXE
F:\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\CleverCache\OOCCSVC.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
F:\Firefox\firefox.exe
F:\Eigene Dateien\Downloads NEW\programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://h**p://69.50.190.135/?to=FED&...ype=start_page
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\adobe\reader 5\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "f:\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVShell] C:\WINDOWS\System32\loader.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://h**p://messenger.zone.msn.com...t.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://h**p://messenger.zone.msn.com...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://h**p://messenger.zone.msn.com...o.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{255DFF28-11D3-4E82-9102-F5FCA416B9F5}: NameServer = 192.168.122.252,192.168.122.253

@ Spain

Heute wurde Dein Log-File schon zweimal von mir editiert und jetzt bist du an der Reihe, damit dieser Mangel umgehend beseitigt wird.

Danach werden wir dein Problem angehen. ;)

oh lol...gerade erst gesehn...sorry...also dann probier ichs mal :) ich mail morgen wieder ich geh jetzt erstmal noch fort *g*.

so jetzt die neue log, unnd was jatzt?


Logfile of HijackThis v1.98.2
Scan saved at 23:42:08, on 12.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe
f:\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Messenger\msmsgs.exe
F:\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\CleverCache\OOCCSVC.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
F:\Eigene Dateien\Downloads NEW\programme\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\adobe\reader 5\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "f:\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVShell] C:\WINDOWS\System32\loader.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{255DFF28-11D3-4E82-9102-F5FCA416B9F5}: NameServer = 192.168.122.252,192.168.122.253

ist diese log denn jetzt ok so?oder hat die noch probleme? und wenn die ok is, was soll ich jetzt machen? oder ist mein system jetzt repaqriert???

sp jetzt hab ich mit e scan nochmal gescannt aber bekomme noch virusmeldungen.

Hier der neue Virus Log (und was jetzt?):

File System Found infected by "CWS.YExe Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "SideFind Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "SideFind Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "SideFind Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "SideFind Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "sidefind Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "istbar Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "istbar Spyware/Adware" Virus. Action Taken: No Action Taken.

1) veraltete version von Hijackthis!
2) veraltetes Betriebssystem, keine Patches, kein SP2!

So wird das nichts...

Gruß :daumenhoc
Yopie

wo bekomm ich ne neue Hijack version her? gib mal den link bitte :)

SP2 kann ich nicht drauf machen, ich hab grad nur 70MB frei auf leufwerk C:\ wo windows installiert ist :(

@Spain
google hast du nicht zuhause, oder? www.hijackthis.de
Ist keine Ausrede.Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen. Danach bekämest du mindestens 200MB frei.

sorry, waren soch keine 70 MB, es waren 30 MB und jetzt hab ich 37 MB frei ...hm....komische sache, ich glaub vllt. ist das noch ein virus der mir hier falsche angaben macht , der mein Laufwerk C:\ mit komische dateien voll macht ich weis auch nicht mehr weiter..

also heir die neue HighJackThis LogFile mit der neuses version ;)



Logfile of HijackThis v1.99.1
Scan saved at 16:14:52, on 13.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe
f:\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.EXE
F:\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
F:\CursorXP\CursorXP.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\CleverCache\OOCCSVC.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
F:\Eigene Dateien\MP3\Mozilla\New\hijackthis_199\HijackThis.exe
F:\Firefox\firefox.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\adobe\reader 5\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "f:\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "F:\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKCU\..\Run: [CursorXP] f:\CursorXP\CursorXP.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{255DFF28-11D3-4E82-9102-F5FCA416B9F5}: NameServer = 192.168.122.252,192.168.122.253
O20 - Winlogon Notify: MCPClient - C:\Programme\Gemeinsame Dateien\Stardock\mcpstub.dll
O20 - Winlogon Notify: WB - F:\STARDOCK\OBJECT~1\WINDOW~1\fastload.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O CleverCache Pro (OOCleverCache) - O&O Software GmbH - C:\Programme\CleverCache\OOCCSVC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

ja ok jungs...da mir hier eh keiner mehr antworten wollte, hab ich meine partition auf den die 2 viren (windows XP und der Trojaner *g* ) drauf waren formatiert, ...ja ich weis eigentlich sollt ich alle partitionen format. aber egal...jetzt läuft zumindest alles wider....

Gruß Spain :affe:

Hiho zusammen /wave

Ich hatte dieses Problem heute auch mit diesem "smitfraud"

Ich habe ca 6 Stunden lang versucht die hier genannten Lösungsvorschlage abzuarbeiten, aber immer ist mir zwischendurch das System entweder abgestürzt oder eingefroren, ich konnte den Workaround nie ganz zu Ende führen.

Nach diser Zeit hatte ich die Nase gestrichen voll und hab mich innerlich schon mal auf eine neuinstallation von Windows vorbereitet, als mir die Idee kam es mal mit der Systemwiederherstellung zu versuchen...

... gesagt, getan. Ich habe das System auf einen Wiederherstellungspunkt von Vorgestern resettet, und oh Wunder, es ging ohne Probleme.

Ich habe dann als erstes meinen Virenscanner geupdatet, einmal laufen lassen, Virus entfernt.

Jetzt scheint zumindest alles wieder in Ornung zu sein.


Ich bin nicht wirklich bewandert in Hard- und Softwaredingen, und trotz aller Dankbarkeit das mein System wieder läuft wundert es mich doch das es auf diese Weise zustandegekommen ist.

Hat wer ne plausible erklärung ?


Grüße,

Susi

Hallo Susi :-),

ist generell sinnvoll und empfehlenswert, daß die Systemwiederherstellung bei der Bereinigung vorrübergehend deaktiviert wird, damit sich die Malware, die sich mit Vorliebe als Systemdatei ausgibt und so mitgesichert wird, nicht automatisch beim nächsten Systemstart wiederherstellen kann.
Ein zurücksetzen des Systems auf einen früheren Wiederherstellungspunkt kann zwar zum Erfolg führen, aber macht imho keinen Sinn. Sinvoller sind angelegte und saubere Images, die im Bedarfsfall zurückgespielt werden und so, für ein vertrauenswürdiges System sorgen.

Hi!
Ich hatte ebenfalls einen BlueScreen mit folgendem Text:
Danach folgt die Nachricht "Aktive Desktop wiederherstellen", dann nach ca. 3 Sekunden eine Fehlermeldung "explorer.exe hat ein Problem festgestellt und muss beendet werden.". dann klicke ich auf "Problembericht nicht senden" und alles geht wieder von vorne los. D.h. auf gut Deutsch, das ich meinen Explorer nichtmehr benutzen kann, weil er alle 5 Sekunden abstürzt. Habe bereits den Avast! Virenscanner, Adaware und den Spybot drüber laufen lassen, aber bisher hat nichts geholfen.

Hier ist mein HJT Report:


Logfile of HijackThis v1.99.1
Scan saved at 13:16:52, on 10.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\msole32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\DRIVERS\WtSrv.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\hookdump.exe
C:\WINDOWS\System32\WService.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Rene\Desktop\KillBox.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Rene\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\System32\dwwin.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WService] WService.EXE
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\System32\hookdump.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{457F7F66-4D9C-488D-8935-918069BFDABF}: NameServer = 212.185.253.9,194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB01FDC9-24CE-41A1-97C5-57C656369DF4}: NameServer = 217.237.151.97 217.237.150.33
O18 - Filter: application/hta - {D962EF38-5FB0-4761-8638-C86F085E25E6} - C:\WINDOWS\sysdll.reg
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\sysdll.reg
O20 - Winlogon Notify: style2 - C:\WINDOWS\q3854734_disk.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: WinTab Service (WinTabService) - Unknown owner - C:\WINDOWS\System32\DRIVERS\WtSrv.exe




Kann mir jemand weiterhelfen?

@ Achill

Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c

Hab Smitfraud wie beschrieben entfernt. Dummerweise krieg ich trotzdem noch alle 3 bis 5 Sekunden die Fehlermeldung "explorer.exe hat ein Problem festgestellt und muss beendet werden.". Nach dem Klicken des "Nicht senden" Buttons startet der Explorer neu, und stürzt nach 5 Sekunden wieder ab. Hat Smitfraud permanenten Schaden angerichtet, oder hab ich noch was übersehen?

Hier mein aktueller HJT Bericht:



Logfile of HijackThis v1.99.1
Scan saved at 14:19:40, on 11.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\WService.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\DRIVERS\WtSrv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Rene\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Rene\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\System32\dwwin.exe

F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WService] WService.EXE
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{457F7F66-4D9C-488D-8935-918069BFDABF}: NameServer = 212.185.253.9,194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB01FDC9-24CE-41A1-97C5-57C656369DF4}: NameServer = 217.237.151.97 217.237.150.33
O18 - Filter: application/hta - {D962EF38-5FB0-4761-8638-C86F085E25E6} - C:\WINDOWS\sysdll.reg
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\sysdll.reg
O20 - Winlogon Notify: style2 - C:\WINDOWS\q3854734_disk.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: WinTab Service (WinTabService) - Unknown owner - C:\WINDOWS\System32\DRIVERS\WtSrv.exe

Dann lass mal folgende Dateien:

C:\WINDOWS\System32\DRIVERS\WtSrv.exe
C:\WINDOWS\System32\msmsgs.exe

hier checken:

http://virusscan.jotti.org/de/

Ggf. mußt du die Prozessse vorher im Taskmanager beenden.
Teile uns das Ergebnis mit.

C:\WINDOWS\System32\DRIVERS\WtSrv.exe
Status:
OK

C:\WINDOWS\System32\msmsgs.exe
Hatte ich bereits per KillBox gelöscht, weil es in einem Lösungsweg um smitfraud zu entfernen beschrieben war.

der explorer stürzt immernoch fleißig alle 5 Sekunden ab. so langsam hab ich garkeine Ahnung mehr was man dagegen machen könnte

"Trojan-spy.html.smitfraud.c" hat in meiner Höller auch herumgeschürt!
 

Hey Jungs,

klasse Forum! Dieser scheiß is auch endlich von meinem Schirm weg!

Aber was genau ist der Sinn und Zweck von diesem "...smitfraud...", ausser das er ein paar Schaltflächen für die Konfiguration des Desktops verschwinden lässt und mir diesen hässlichen Bluescreen setzt??? Ich hab nämlich keine weiteren Schäden finden können!?!

Bei Smitfraud handelt es sich um eine Mischform aus mehreren Schädlingsarten.
Browser-Hijacking und agressive Adware sind zunächst mal die augenscheinlichsten Auswirkungen.
Und damit gehts dann tatsächlich erstmal ums Geld verdienen.
Über nachladende Dateien wird natürlich auch noch die Möglichkeit gegeben(durch evtl. neuere Versionen), beliebige andere Malware nachzuladen.
Das nur mal so ganz grob.

Also ich hab auch den Trojan-spy.html.smitfraud.c bekommen......

hab gelesen das man mir weitergeholfen werden kann, wenn ich ein hijackthis log poste...also hier kommts.....

Logfile of HijackThis v1.99.1
Scan saved at 18:08:15, on 27.06.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\T-DSL BUSINESS\BOLOG.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\PROGRAMME\A4TECH\MOUSE\AMOUMAIN.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE
C:\PROGRAMME\EBAY\EBAY TOOLBAR2\EBAYTBDAEMON.EXE
C:\WINDOWS\TPPALDR.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\PULSE\PULSE.EXE
C:\PROGRAMME\CLIENT\CLIENT.EXE
C:\PROGRAMME\NOKIA\PC SUITE FüR DEN NOKIA 9210I COMMUNICATOR\CONNECTSTATE.EXE
C:\PROGRAMME\NOKIA\PC SUITE FüR DEN NOKIA 9210I COMMUNICATOR\ECTASKSCHEDULER.EXE
C:\PROGRAMME\WMPCI54G WLAN MONITOR\WMP54G.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE
C:\PROGRAMME\PRECISIONTIME\PRECISIONTIME.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\PROGRAMME\NOKIA\PC SUITE FüR DEN NOKIA 9210I COMMUNICATOR\BROADCASTPROXY.EXE
C:\PROGRAMME\NAVISEARCH\BIN\NLS.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://h**p://www.couldnotfind.com/s...ount_id=145499
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.exactsearch.net/sidesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = ToBros Explorer
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_3_19_0.DLL
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.3000.1001\DE\MSNTB.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.02.3000.1002\EN-XU\STMAIN.DLL
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\WSEM302.DLL
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINDOWS\SYSTEM\APUC.DLL
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\PROGRAMME\EBAY\EBAY TOOLBAR2\EBAYTB.DLL
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\SYSTEM\NVMS.DLL
O2 - BHO: LostGoggles plug-in (web site preview snapshots - www.lostgoggles.com) - {6291957C-8CE9-4c90-BEFF-12D9E68CFF30} - C:\PROGRAMME\LOSTGOGGLES\LGOGGLES.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.3000.1001\DE\MSNTB.DLL
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_3_19_0.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\PROGRAMME\DASHBAR\DASHBAR21.DLL
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\PROGRAMME\EBAY\EBAY TOOLBAR2\EBAYTB.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [BusinessOnline Log] "C:\PROGRAMME\T-DSL BUSINESS\BOLOG.EXE"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4TECH\MOUSE\AMOUMAIN.EXE
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [Pulse] C:\Programme\Pulse\Pulse.exe -splash
O4 - HKCU\..\Run: [Uptime-Project] C:\PROGRAMME\CLIENT\CLIENT.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: PC Suite für den Nokia 9210i Communicator.lnk = ?
O4 - Startup: PC Suite für den Nokia 9210i Communicator Aufgabenplaner.lnk = ?
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Startup: Wireless-G PCI Monitor.lnk = C:\Programme\WMPCI54G WLAN Monitor\WMP54G.exe
O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O8 - Extra context menu item: Shorten URL - h**p://www.cjb.net/menuext.html
O8 - Extra context menu item: In &neuem Fenster öffnen - C:\WINDOWS\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tuofinw.tui
O8 - Extra context menu item: Zoom &In* - C:\WINDOWS\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tuzoomin.tui
O8 - Extra context menu item: Zoom &Out* - C:\WINDOWS\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tuzoomout.tui
O8 - Extra context menu item: &eBay Search - res://C:\PROGRAMME\EBAY\EBAY TOOLBAR2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Backward Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate into English - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmtrans.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file)
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - h**p://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://h**p://zone.msn.com/bingame/z...ploader_v5.cab
O16 - DPF: {9AA73F41-EC64-489E-9A73-9CD52E528BC4} (ZoneAxRcMgr Class) - h**p://zone.msn.com/binGame/ZAxRcMgr.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://h**p://messenger.zone.msn.com...t.cab28578.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://h**p://messenger.zone.msn.com...r.cab28578.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://h**p://software-dl.real.com/1...dxIE601_de.cab
O16 - DPF: Yahoo! Reversi - http://h**p://download.games.yahoo.c...ts/y/rt0_x.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - h**p://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: Yahoo! Pool 2 - http://h**p://download.games.yahoo.c...s/y/pote_x.cab
O16 - DPF: ppctlcab - h**p://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - h**p://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} - h**p://download.ebay.com/toolbar/de/eBayTBar.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - h**p://www.cult3d.com/download/cult.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://h**p://www.xxxtoolbar.com/ist...006_cracks.cab
O16 - DPF: {4418DD4D-7265-4C32-BC0A-3FDB3C2DA938} (Protecter Class) - http://h**p://www.xxxtoolbar.com/ist...ct_regular.cab
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} - http://h**p://www.addictivetechnolog...ab/b0ba34a.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://h**p://www.xxxtoolbar.com/ist...006_cracks.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://h**p://ax.phobos.apple.com.ed...ITDetector.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://h**p://www.ysbweb.com/ist/sof...sb_regular.cab





bitte um genaue Beschreibung was ich jetzt machen soll!
Ich hab keine Ahnung!

DANKE!!!! :daumenhoc

Editiere bitte alle Links in deinem Post (mach aus http-->h**p).
Gehe dann wie folgt vor :

http://www.trojaner-board.de/showthread.php?t=17863

ahhhhh. so ne scheiße
ich hab überhaupt keine ahnung von pcs und hab nu auch diesen schicken trojaner.
seit gestern. hab windows daraufhin im abgesicherten modus gestartet und erstmal alle wichtigen dateien sicher kopiert und erstmal natürlich antivir laufen lassen. hat nix gebracht. hab dann nach andren möglichkeiten gesucht-probiert und irgendwann aufgegeben. als ich meinen rechner vorhin angemacht habe und F8 gedrückt hielt um in den abgesicherten modus zu wechslen kam das

Starting caldera DRDOS...
Single stepping configuration files...
Device=A:\DRDOS\EMM386.EXE/OFF (Y,N,R)?_

was soll das??? das war da noch nie. ich bin völlig aufgeschmissen. was mach ich? einfach mal enter drücken!?

jule

@julischka

Bitte erstelle ein eigenes Thema, in dem du dein Problem beschreibst.
Ansonsten wird das hier zu unübersichtlich.