Trojaner-Board - Hacktool.Rootkit

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Hacktool.Rootkit (https://www.trojaner-board.de/30302-hacktool-rootkit.html)

Hacktool.Rootkit

Hallo zusammen!

Wir haben gerade den Norton durch die Dateien gejagt und mussten mit Erschrecken feststellen, dass wir wohl einen Trojaner haben! Norton kann ihn nicht reparieren, sollte ich ihn erste einmal isolieren?

Wie gefährlich ist dieser Trojaner für uns?
Was macht er mit meinen persönlichen Kennwörtern usw.

Vor allem was muss ich nun tun?
Bitte helft mir weiter, denn damit bin ich masslos überfordert!
Danke schon mal im Voraus!
Liebe Grüße P@t

Zitat:

Die 7 goldenen Regeln im Trojaner-Board:

1. Bevor Du postest, benutze Google sowie die Boardsuche und informiere Dich über Dein Problem. Du bist erfahrungsgemäß nicht der erste, der diese Frage stellt. Arbeite die empfohlenen Maßnahmen durch.

2. Wenn Du Dein Problem im Board schildern willst, poste es genau einmal. Fallen Dir danach wichtige Details ein, editiere und ergänze Dein Posting, anstatt ein neues zu erstellen. Mehrfach- und Crosspostings landen in der Mülltonne.

3. Wähle einen aussagekräftigen Titel, der Dein Problem kurz und klar zusammenfaßt. Titel wie "hüllfääää ... überall viren!!!" führen dazu, daß Dein Posting ignoriert wird.

4. Schreibe in verständlichem Deutsch und in ganzen Sätzen. Vergiß nicht: Dies ist ein Forum, kein Chat. Du hast Zeit! Beseitige Fehler, bevor du Deinen Beitrag erstellst. Hältst Du Dich nicht an diese Regel, kannst Du keine hilfreichen Antworten erwarten.

5. Beschreibe Dein Problem genau und nenne alle erforderlichen Details. Dazu gehören Dein Betriebssystem, wortgetreue Wiedergaben von Fehlermeldungen, und Pfadangaben bei Schädlingsbefall. Fehlen diese Angaben, kann Dir niemand helfen.

6. Lies die Hinweise der Helfer sorgfältig und befolge sie. Verstehst Du etwas nicht, frage höflich nach. Hast Du Dein Problem erfolgreich gelöst, melde Dich. Vergiß nicht, Dich zu bedanken. Deine Helfer werden es nicht vergessen.

7. Zu guter Letzt: Zitiere externe Quellen immer mit Quellenangabe, da Du sonst das Team in rechtliche Schwierigkeiten bringst. Bei Nichtbeachtung dieser Regel werden entsprechende Postings kommentarlos gelöscht.

==> Die genaue Meldung des AV-Programms inkl. Datei- und Pfadangabe des Fundes posten!

Außerdem poste mal ein Hijackthis-Logfile, Anleitung in der Signatur beachten!

Gruß :daumenhoc
Yopie

Sorry!
Bin ziemlich von der Rolle.......

Also bei Norton steht noch:

uxywucfj.ouo als Element und als Virenname halt "Hacktool Rootkit"

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 18:47:30, on 01.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\Mixer.exe
C:\Programme\MusicMatch\MusicMatch Jukebox\mmtask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\klickTel\klickInvers Frühjahr 2005\KMON.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\PROGRA~1\NORTON~1\navw32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\****\Eigene Dateien\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ****//g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = //***.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://***.versatel.de/internet-cd/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.0.100
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~1\IEBUTT~2.DLL (file missing)
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.2607.0\de\msntb.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SpionFrei] "C:\Programme\SinEspias\No-Spy.exe" /autorun
O4 - HKLM\..\Run: [Sin Espias] C:\Programme\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [DInfoSetup] C:\Programme\D-Info2002\SDinfo.exe /INIKEY
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Nod32CC] "C:\WINDOWS\system32\nod32cc.exe" -DONTSHOW
O4 - HKLM\..\Run: [Amon] "C:\Programme\Eset\amon.exe"
O4 - HKLM\..\Run: [mmtask] C:\Programme\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [InversMonitor] "C:\Programme\klickTel\klickInvers Frühjahr 2005\KMON.EXE" /MONITOR
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: BINGOOO - {799A36F8-648E-4F5E-9122-6B141E0C6E00} - C:\Programme\D-Info2002\Bingooo\BINGOOO.exe
O9 - Extra button: Web Inspector - {8C482949-E656-42F7-A635-111111111111} - C:\Programme\LMD Innovative\Web Inspector\WISCRIPT.HTM (file missing)
O9 - Extra 'Tools' menuitem: Web Inspector - {8C482949-E656-42F7-A635-111111111111} - C:\Programme\LMD Innovative\Web Inspector\WISCRIPT.HTM (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - ***://***.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=ht**://w*w.versatel.de/internet-cd/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - h**p://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - ht**://207.188.7.150/0528e2ec6239e565be06/netzip/RdxIE601_de.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - h**p://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

So ich hoffe ich habe das nun richtig gemacht! Ist für mich schließlich das erste Mal! Falls nicht.........bitte um Aufklärung! Dankeschön!
LG P@t

Zitat:

Zitat von P@t

[B]uxywucfj.ouo als Element und als Virenname halt "Hacktool Rootkit"

Kein Ordnername?

Dann mach mal einen eScan, und poste die Funde mit der find.bat. Anleitung in der Sig genau beachten!

Gruß :daumenhoc
Yopie

Zitat:

Zitat von Yopie

Kein Ordnername?

Dann mach mal einen eScan, und poste die Funde mit der find.bat. Anleitung in der Sig genau beachten!

Gruß :daumenhoc
Yopie

Also für den eScan bin ich anscheinend nicht geboren! Habe es die ganze Zeit probiert........:schmoll:

Doch jetzt klappt es........
Melde mich gleich wieder

LG P@t

Gleich *haha*
er scannt jetzt schon eine Stunde........ aber das was ich da sehe oh oh

Puh..........jetzt bin ich aber echt überfordert.......also das habe ich nun herausgefunden:

Zitat:

Sat Jul 01 22:04:33 2006 => Gescannte Dateien: 78801
Sat Jul 01 22:04:33 2006 => Gefundene Viren: 122
Sat Jul 01 22:04:33 2006 => Anzahl der desinfizierten Dateien: 0
Sat Jul 01 22:04:33 2006 => Umbenannte Dateien: 0
Sat Jul 01 22:04:33 2006 => Anzahl der gelöschten Dateien: 0
Sat Jul 01 22:04:33 2006 => Anzahl Fehler: 70
Sat Jul 01 22:04:33 2006 => Dauer des Scans bisher: 01:59:46
Sat Jul 01 22:04:34 2006 => Virus-Datenbank Datum: 6/28/2006
Sat Jul 01 22:04:34 2006 => Virus-Datenbank Zähler: 203358

Zitat:

Sat Jul 01 20:06:05 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: Keine Aktion vorgenommen.
Sat Jul 01 20:06:05 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: Keine Aktion vorgenommen.
Sat Jul 01 20:06:10 2006 => Offending file found: C:\WINDOWS\system32\svcp.csv
Sat Jul 01 20:06:10 2006 => System found infected with smitfraud Browser Hijacker (svcp.csv)! Action taken: Keine Aktion vorgenommen.

Sat Jul 01 20:06:11 2006 => Offending file found: C:\WINDOWS\system32\winsub.xml
Sat Jul 01 20:06:11 2006 => System found infected with smitfraud Browser Hijacker (winsub.xml)! Action taken: Keine Aktion vorgenommen.

Sat Jul 01 20:06:11 2006 => Offending file found: C:\WINDOWS\system32\zlbw.dll
Sat Jul 01 20:06:11 2006 => System found infected with smitfraud Browser Hijacker (zlbw.dll)! Action taken: Keine Aktion vorgenommen.
6:14 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\microsoft\installer\{0d5447ee-fec6-49b2-9367-ed5cfb87d436}\uninstal.exe
Sat Jul 01 20:06:14 2006 => System found infected with thelocalsearch Spyware/Adware (uninstal.exe)! Action taken: Keine Aktion vorgenommen.

Sat Jul 01 20:06:17 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Desktop\ebay.url
Sat Jul 01 20:06:17 2006 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: Keine Aktion vorgenommen.

Sat Jul 01 20:06:41 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
Sat Jul 01 20:06:41 2006 => Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Jul 01 20:33:02 2006 => Scanne Ordner: C:\Programme\ESET\infected\*.*
Sat Jul 01 20:33:02 2006 => Scanne Datei C:\Programme\ESET\infected\2L1N0RBA.NQF
Sat Jul 01 20:33:02 2006 => Scanne Datei C:\Programme\ESET\infected\2L1N0RBA.NQI
Sat Jul 01 20:33:02 2006 => Scanne Datei C:\Programme\ESET\infected\BRYSXMAA.NQF
Sat Jul 01 20:33:02 2006 => Datei C:\Programme\ESET\infected\BRYSXMAA.NQF infiziert von "Trojan-Downloader.Win32.Small.akz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sat Jul 01 20:33:02 2006 => Scanne Datei C:\Programme\ESET\infected\BRYSXMAA.NQI
Sat Jul 01 20:33:02 2006 => Scanne Datei C:\Programme\ESET\infected\FERPQWCA.NQF
Sat Jul 01 20:33:02 2006 => Datei C:\Programme\ESET\infected\FERPQWCA.NQF infiziert von "Trojan.Win32.Dialer.ht" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sat Jul 01 20:33:02 2006 => Scanne Datei C:\Programme\ESET\infected\FERPQWCA.NQI

Was hat das zu bedeuten........

Also ich habe nun den Durchblick verloren :headbang:
HILFE!!!!!!!!!!:crazy:

Vielleicht sollte jemand sich diese MWAV.LOG mal näher ansehen..........denn mit diesem Bat-dings bin ich nicht klargekommen!

:dummguck:
Hallo?
Habe ich was falsch gemacht?

Poste das Ergebnis mal mittels der in der Anleitung beschriebenen Find.bat-Datei.

Da du es weder schaffst, die Pfadangabe des Fundes von Norton zu posten noch die Anleitung von eScan zu befolgen (und da deine Probleme nicht näher angibst), kann zumindest ich dir nicht weiter helfen. Nicht böse gemeint, aber vielleicht gibts im Bekanntenkreis jemanden, den die Anleitungen nicht überfordern?

In dem Log von eScan ist einiges, was nicht so toll ist ( http://siri.urz.free.fr/Fix/SmitfraudFix_De.php kann dir dabei evtl. weiterhelfen!), aber von Hacktool keine Spur.

Gruß :daumenhoc
Yopie

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Jul 01 20:06:05 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: Keine Aktion vorgenommen.
Sat Jul 01 20:06:05 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: Keine Aktion vorgenommen.
Sat Jul 01 20:06:10 2006 => System found infected with smitfraud Browser Hijacker (svcp.csv)! Action taken: Keine Aktion vorgenommen.
Sat Jul 01 20:06:11 2006 => System found infected with smitfraud Browser Hijacker (winsub.xml)! Action taken: Keine Aktion vorgenommen.
Sat Jul 01 20:06:11 2006 => System found infected with smitfraud Browser Hijacker (zlbw.dll)! Action taken: Keine Aktion vorgenommen.
Sat Jul 01 20:06:14 2006 => System found infected with thelocalsearch Spyware/Adware (uninstal.exe)! Action taken: Keine Aktion vorgenommen.
Sat Jul 01 20:06:17 2006 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sat Jul 01 20:06:10 2006 => Offending file found: C:\WINDOWS\system32\svcp.csv
Sat Jul 01 20:06:11 2006 => Offending file found: C:\WINDOWS\system32\winsub.xml
Sat Jul 01 20:06:11 2006 => Offending file found: C:\WINDOWS\system32\zlbw.dll
Sat Jul 01 20:06:14 2006 => Offending file found: C:\Dokumente und Einstellungen\****\Anwendungsdaten\microsoft\installer\{0d5447ee-fec6-49b2-9367-ed5cfb87d436}\uninstal.exe
Sat Jul 01 20:06:17 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Desktop\ebay.url
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Sat Jul 01 20:06:41 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

So ich hoffe das es nun richtig ist, denn nicht jeder schläft mit einem Computerhandbuch unter dem Kopfkissen! Würde mich jeden falls freuen wenn ihr auch Computerdummies *so wie ich es bin* weiterhelft!

Keine Spur von Hacktool.Rootkit. Vielleicht solltest du nochmal mit Norton scannen und dann die genaue Meldung inkl. Pfadangabe posten.

Du kannst aber http://siri.urz.free.fr/Fix/SmitfraudFix_De.php auf jeden Fall mal anwenden.

Gruß :daumenhoc
Yopie

Zitat:

Ich hatte auch erst gefragt ob ich isolieren soll und da habe ich keine Antwort erhalten, heute habe ich dann isolíert und folgendes steht dann da

Zitat:

uxywucfj.ouo

Typ: OUO-Datei
Ablageort: C:\WINDOWS\system32
Größe: 14.6 KB
Virenname:Hacktool.Rootkit

Probleme habe ich persönlich noch keine feststellen können, nur mein Mann meinte er käme aus Ebay nicht mit der Zurücktaste raus! Dann werden mir unten in der Leiste immer irgendwelche Updates [die angeblich gedownloadet werden] angezeigt aber es bleibt immer auf 0%!

Mehr fällt mir jetzt nicht ein......

Zitat:

Zitat von P@t

Ich hatte auch erst gefragt ob ich isolieren soll und da habe ich keine Antwort erhalten

Weil man dir ja schlecht ins blaue hinein irgendwas raten kann. Fehlalarme können schließlich vorkommen.

Zitat:

uxywucfj.ouo

Typ: OUO-Datei
Ablageort: C:\WINDOWS\system32
Größe: 14.6 KB
Virenname:Hacktool.Rootkit

Wenn es kein Fehlalarm ist, solltest du formatieren und neu aufsetzen.

Du kannst, um einen Fehlalarm auszuschließen, die Datei auch mal Online unter http://virusscan.jotti.org/de/ prüfen (evtl. etwas warten, evtl. Datei aus der Quarantäne wieder rausholen...) und die Ergebnisse posten.

Zitat:

Dann werden mir unten in der Leiste immer irgendwelche Updates [die angeblich gedownloadet werden] angezeigt aber es bleibt immer auf 0%!

Du kannst das Windowsupdate auch unter http://windowsupdate.microsoft.com/ ausführen.

Gruß :daumenhoc
Yopie

Logfile of HijackThis v1.99.1

Zitat:

Scan saved at 20:30:11, on 02.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\Mixer.exe
C:\Programme\MusicMatch\MusicMatch Jukebox\mmtask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\klickTel\klickInvers Frühjahr 2005\KMON.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Microsoft Works\MSWorks.exe
C:\Dokumente und Einstellungen\****\Eigene Dateien\Neuer Ordner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://***.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.0.100
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~1\IEBUTT~2.DLL (file missing)
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.2607.0\de\msntb.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SpionFrei] "C:\Programme\SinEspias\No-Spy.exe" /autorun
O4 - HKLM\..\Run: [Sin Espias] C:\Programme\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [DInfoSetup] C:\Programme\D-Info2002\SDinfo.exe /INIKEY
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Nod32CC] "C:\WINDOWS\system32\nod32cc.exe" -DONTSHOW
O4 - HKLM\..\Run: [Amon] "C:\Programme\Eset\amon.exe"
O4 - HKLM\..\Run: [mmtask] C:\Programme\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [InversMonitor] "C:\Programme\klickTel\klickInvers Frühjahr 2005\KMON.EXE" /MONITOR
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: BINGOOO - {799A36F8-648E-4F5E-9122-6B141E0C6E00} - C:\Programme\D-Info2002\Bingooo\BINGOOO.exe
O9 - Extra button: Web Inspector - {8C482949-E656-42F7-A635-111111111111} - C:\Programme\LMD Innovative\Web Inspector\WISCRIPT.HTM (file missing)
O9 - Extra 'Tools' menuitem: Web Inspector - {8C482949-E656-42F7-A635-111111111111} - C:\Programme\LMD Innovative\Web Inspector\WISCRIPT.HTM (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/0528e2ec6239e565be06/netzip/RdxIE601_de.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

Gibt es schon einen Unterschied zum ersten Logfile?