Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Bitte helft mir (https://www.trojaner-board.de/21337-bitte-helft-mir.html)

rdom 29.08.2005 20:25
Bitte helft mir
 
Habe vor kurzem den ABI Network Trojaner auf meinem Notebook gehabt. Diesen habe ich zwar entfernt (glaubte ich), aber trotzdem gehen wehrend des surfens im Internet seiten wie von Geisterhand auf.

Mein Log File:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\OLYMPUS\Service\OlCamSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\EzButton\CplBTQ00.EXE
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\hphmon03.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\HPHipm09.exe
C:\Programme\mobile PhoneTools\WatchDog.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Microsoft Money\System\reminder.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\ZyXEL\IEEE802.11b WLAN Card Utility\WLPCCfg.exe
C:\Programme\LG PC Suite\LG PC Sync\LGSyncManager.exe
C:\Programme\OLYMPUS\OLYMPUS Studio\Os_Monitor.exe
C:\Programme\OLYMPUS\OLYMPUS Viewer\Ov_Monitor.exe
C:\Programme\Wireless\Client Manager\CMags.EXE
C:\Programme\Sony Handheld\HOTSYNC.EXE
C:\Dokumente und Einstellungen\Robert Dombrowski\Desktop\Virus\1_99_1.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.at/0SEDEAT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inode.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PicShow Class - {4487598C-2EC7-43A2-870E-6D8D720FDD9F} - C:\WINDOWS\system32\pkshaeam.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de-at\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de-at\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CplBTQ00] C:\Programme\EzButton\CplBTQ00.EXE
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [NDSTray.exe] "C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programme\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Battery Checker] C:\Program Files\TOSHIBA\Battery Checker\BtryChkr.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [WatchDog] C:\Programme\mobile PhoneTools\WatchDog.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MMAgent] C:\Programme\Mobile Master\MMAgent.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [pshower] C:\WINDOWS\system32\pshwr.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Sony Handheld\HOTSYNC.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: IEEE802.11b WLAN Card Utility.lnk = C:\Programme\ZyXEL\IEEE802.11b WLAN Card Utility\WLPCCfg.exe
O4 - Global Startup: LG SyncManager.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OLYMPUS Studio.lnk = C:\Programme\OLYMPUS\OLYMPUS Studio\Os_Monitor.exe
O4 - Global Startup: OLYMPUS Viewer.lnk = C:\Programme\OLYMPUS\OLYMPUS Viewer\Ov_Monitor.exe
O4 - Global Startup: Wireless Client Manager.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Konvertieren für CLIÉ - C:\Programme\Sony\Image Converter\menu.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.registration.sonystyle-europe.com (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1089276643421
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://212.41.236.181/activex/AxisCamControl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OlCamSrv - OLYMPUS IMAGING CORP. - C:\Programme\Gemeinsame Dateien\OLYMPUS\Service\OlCamSrv.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe
O23 - Service: AEGIS Client 1.3.6.1 (SVC8021X) - Meetinghouse Data Communications - C:\WINDOWS\System32\svc8021x.exe

Für jegliche hilfe wäre ich dankbar.

Chris14 29.08.2005 20:30
eine genaue bezeichnung wäre gut abi network trojaner sagt mir nicht viel.
wenn es einer mit backdoorfunktion war, muss neu aufgesetzt werden.
führe eScan gemäß der Anleitung aus
lass auch mal die datei C:\WINDOWS\System32\svc8021x.exe bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis.

rdom 29.08.2005 20:37
Danke erstmals für die Schnelle Antwort. Der Scan der Datei svc8021x.exe ergab nicht. Status ok. Vielleicht hilft dir die Bezeichnung Aurora. Leider habe ich keine weiteren Daten. Ich werde mal eScan durführen. Melde mich wieder.

Chris14 29.08.2005 20:40
dann denke ich sollte es nichts allzu bedenkliches sein, obwohl..
das mit aurora war hilfreich - es ist wiedermal nail.exe

ich empfehle hier auch den Remover für nail.exe

Platzregen 29.08.2005 20:45
öhm hast du einen virenscanner neben ewido laufen?

*schäm* doofe Frage ich weis.
nur ich hab sowas nicht entdeckt.

rdom 30.08.2005 19:36
Es hat zwar etwas länger gedauert (ca. 4 Stunden) aber der eScan ergab folgendes

hoffe Ihr könnt mit dabei helfen.

Bedanke mich im voraus.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Aug 29 22:42:19 2005 => File C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-11faa9ed-22f78a0e.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Mon Aug 29 22:42:19 2005 => File C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-11faa9ed-5ba136ba.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Mon Aug 29 22:42:20 2005 => File C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-2b08b8d9-66489074.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Mon Aug 29 22:42:20 2005 => File C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-53b4ddc1-275dc5c5.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Mon Aug 29 22:42:20 2005 => File C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-5980c178-373cad74.zip infected by "Exploit.Java.ByteVerify" Virus! Action Taken: No Action Taken.
Mon Aug 29 22:42:20 2005 => File C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-9275328-342a5df1.zip infected by "Exploit.Java.ByteVerify" Virus! Action Taken: No Action Taken.
Mon Aug 29 22:42:21 2005 => File C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count1.jar-40ea9663-2ff11ac9.zip infected by "Trojan.Java.Needy.c" Virus! Action Taken: No Action Taken.
Mon Aug 29 22:42:21 2005 => File C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count1.jar-6fc6bfca-34bababe.zip infected by "Trojan.Java.Needy.c" Virus! Action Taken: No Action Taken.
Mon Aug 29 22:42:21 2005 => File C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count1.jar-77786529-66dee0ed.zip infected by "Trojan.Java.Needy.c" Virus! Action Taken: No Action Taken.
Mon Aug 29 22:42:27 2005 => File C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv678.jar-c933e3f-6f481288.zip infected by "Trojan.Java.ClassLoader.h" Virus! Action Taken: No Action Taken.
Mon Aug 29 22:44:16 2005 => File C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Eigene Dateien\cracks\Macromedia_Fireworks_4[1].01_German.zip infected by "Trojan-Dropper.Win32.Small.a" Virus! Action Taken: No Action Taken.
Tue Aug 30 02:58:05 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Aug 29 21:58:53 2005 => File C:\WINDOWS\system32\pkshaeam.dll tagged as "not-a-virus:AdWare.SafeSurfing.r". Action Taken: No Action Taken.
Mon Aug 29 22:24:15 2005 => File C:\WINDOWS\system32\pkshaeam.dll tagged as "not-a-virus:AdWare.SafeSurfing.r". Action Taken: No Action Taken.
Mon Aug 29 22:43:01 2005 => File C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Desktop\Virus\Nailfix\Process.exe tagged as not-a-virus:RiskTool.Win32.Processor.20. No Action Taken.
Mon Aug 29 22:43:01 2005 => File C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Desktop\Virus\Nailfix.zip tagged as not-a-virus:RiskTool.Win32.Processor.20. No Action Taken.
Tue Aug 30 01:58:18 2005 => File C:\Programme\Tlen.pl\plugins\DozaKultury.tpl tagged as "not-a-virus:AdWare.Doza.a". Action Taken: No Action Taken.
Tue Aug 30 02:57:43 2005 => File C:\WINDOWS\uzvwct.exe tagged as "not-a-virus:AdWare.BetterInternet.r". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Aug 30 02:58:05 2005 => Total Virus(es) Found: 17
Tue Aug 30 02:58:05 2005 => Total Errors: 345
Tue Aug 30 02:58:05 2005 => Time Elapsed: 04:34:12
Tue Aug 30 02:58:04 2005 => Total Objects Scanned: 127723
Mon Aug 29 21:57:50 2005 => Virus Database Date: 2005/08/29
Mon Aug 29 22:23:07 2005 => Virus Database Date: 2005/08/29
Tue Aug 30 02:58:05 2005 => Virus Database Date: 2005/08/29
Tue Aug 30 04:16:17 2005 => Virus Database Date: 2005/08/29
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Chris14 30.08.2005 19:47
leere erstmal deinen java-cache.
Start -> Einstellungen -> Systemsteuerung -> Java (PlugIn) -> Cache -> Cache Leeren.
achja den crack den du für macromedia fireworks runtergeladen hast, ist ein trojan-dropper. lösche also die datei C:\Dokumente und Einstellungen\xxxxxxx xxxxxxx\Eigene Dateien\cracks\Macromedia_Fireworks_4[1].01_German.zip
lösche (falls nötig im abgesicherten modus) den ordner C:\Programme\Tlen.pl
lösche dann noch die dateien C:\WINDOWS\system32\pkshaeam.dll und C:\WINDOWS\uzvwct.exe.

neues HJT-Logfile posten.

rdom 30.08.2005 20:19
Danke Chris,

Ich konnte das file C:\WINDOWS\system32\pkshaeam.dll nicht löschen und im abgesicherten Modus konnte ich es nicht finden.

hier das neue logfile.

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\OLYMPUS\Service\OlCamSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\EzButton\CplBTQ00.EXE
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\System32\hphmon03.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\mobile PhoneTools\WatchDog.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Microsoft Money\System\reminder.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\HPHipm09.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\ZyXEL\IEEE802.11b WLAN Card Utility\WLPCCfg.exe
C:\Programme\LG PC Suite\LG PC Sync\LGSyncManager.exe
C:\Programme\OLYMPUS\OLYMPUS Studio\Os_Monitor.exe
C:\Programme\OLYMPUS\OLYMPUS Viewer\Ov_Monitor.exe
C:\Programme\Wireless\Client Manager\CMags.EXE
C:\Programme\Sony Handheld\HOTSYNC.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Robert Dombrowski\Desktop\Virus\1_99_1.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.at/0SEDEAT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inode.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de-at\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de-at\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CplBTQ00] C:\Programme\EzButton\CplBTQ00.EXE
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [NDSTray.exe] "C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programme\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Battery Checker] C:\Program Files\TOSHIBA\Battery Checker\BtryChkr.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [WatchDog] C:\Programme\mobile PhoneTools\WatchDog.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MMAgent] C:\Programme\Mobile Master\MMAgent.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [pshower] C:\WINDOWS\system32\pshwr.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Sony Handheld\HOTSYNC.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: IEEE802.11b WLAN Card Utility.lnk = C:\Programme\ZyXEL\IEEE802.11b WLAN Card Utility\WLPCCfg.exe
O4 - Global Startup: LG SyncManager.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OLYMPUS Studio.lnk = C:\Programme\OLYMPUS\OLYMPUS Studio\Os_Monitor.exe
O4 - Global Startup: OLYMPUS Viewer.lnk = C:\Programme\OLYMPUS\OLYMPUS Viewer\Ov_Monitor.exe
O4 - Global Startup: Wireless Client Manager.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Konvertieren für CLIÉ - C:\Programme\Sony\Image Converter\menu.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.registration.sonystyle-europe.com (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1089276643421
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://212.41.236.181/activex/AxisCamControl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDE35A50-BB91-4622-8BA0-D7ADD6CBCBA6}: NameServer = 195.58.160.194 195.58.161.122
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OlCamSrv - OLYMPUS IMAGING CORP. - C:\Programme\Gemeinsame Dateien\OLYMPUS\Service\OlCamSrv.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe
O23 - Service: AEGIS Client 1.3.6.1 (SVC8021X) - Meetinghouse Data Communications - C:\WINDOWS\System32\svc8021x.exe

chaosman 30.08.2005 20:26
@rdom

poste bitte auch die systeminfos vom HJT logfile

chaosman

rdom 30.08.2005 20:28
@chaosman

meinst Du das hier

Logfile of HijackThis v1.99.1
Scan saved at 21:27:02, on 30.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

chaosman 30.08.2005 20:36
@rdom
Yep, bitte immer mit posten.
editiere deine aktiven Links, siehe meine signatur.

Ich konnte das file C:\WINDOWS\system32\pkshaeam.dll nicht löschen und im abgesicherten Modus konnte ich es nicht finden.
benütze bitte kilbox http://www.downloads.subratam.org/KillBox.zip
zum löschen.

sind diese einstellungen bei dir aktiv?
Im Windows-Explorer:
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
Zitat Haui45


chaosman

rdom 30.08.2005 21:06
@chaosman

ja ist beim mir alles aktiviert bzw. deaktiviert. habe im normalem Windows Modus nach der Datei gesucht und fand diese mit dem Filename "delet on reebot pksheam.dll" konnte diese aber nicht löschen und bin in den abgesichertem Modus gegangen, konnte diese Datei aber dort nicht mehr finden. Mir kommt vor daß ich die datei vor paar Tagen mit killbox gelöscht habe. Kann es sein daß diese erst heute gelöscht wurde?

rdom 31.08.2005 14:06
Es schaut so aus als ob alles wieder in Ordnung ist.

Danke für Eure Hilfe.


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:37 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131