Trojaner-Board - Welcher Trojanerjäger von Euch kann helfen?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Welcher Trojanerjäger von Euch kann helfen? (https://www.trojaner-board.de/8847-welcher-trojanerjaeger-euch-helfen.html)

Welcher Trojanerjäger von Euch kann helfen?

Habe lt.Ferndiagnose von Symantec und Kasperski nen Trojaner drauf!
Heißt lt.Symantec C:\ren_test_jv.exe ist infiziert mit Download.Trojan
und lt.Kasperski C:\ren_test_jv.exe infiziert:Trojan.Win32.Scagent.d
Wie werde ich die Dinger als PC Lagasteniker einfach wieder los, bin dankbar
für jeden Tip!

Gruß
Michel

Lade dir Hijackthis runter ( http://www.http://www.trojaner-board...ijackthis.html) und poste danach deinen Logfile hier im Board:

Zitat:

Zitat von cronos

Lade dir Hijackthis runter ( http://www.http://www.trojaner-board...ijackthis.html) und poste danach deinen Logfile hier im Board:

Hallo Cronos,

hier der Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 20:49:36, on 26.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\System32\hphmon04.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\HPHipm11.exe
C:\Programme\EzButton System V2.1\EzButton.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Michi\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=17&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=17&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunOnce: [DELDIR0.EXE] "C:\DOKUME~1\Michi\LOKALE~1\Temp\DELDIR0.EXE" "C:\Programme\McAfee\McAfee Shared Components\Guardian\"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] C:\Programme\Purgatio Pro\checker.exe /check
O4 - Startup: EzButton System.lnk = C:\Programme\EzButton System V2.1\EzButton.exe
O4 - Global Startup: Quicken 2003 Zahlungserinnerung.lnk = C:\Programme\Quicken2003\billmind.exe
O9 - Extra button: Corel Network monitor worker - {989A9CD2-6C1C-42A8-A108-B2578A3F18E2} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {989A9CD2-6C1C-42A8-A108-B2578A3F18E2} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Corel Network monitor worker - {989A9CD2-6C1C-42A8-A108-B2578A3F18E2} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {989A9CD2-6C1C-42A8-A108-B2578A3F18E2} - (no file) (HKCU)
O9 - Extra button: MedionShop - {A6747686-5D18-4BA9-9F88-1D27ACFAAB18} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {03C543A1-C090-418F-A1D0-FB96380D601D} (preload control) - http://www.btinternetpayments.com/build/preload.cab
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54678382-DCFD-4B93-9DB3-52463BFC53A3}: NameServer = 62.104.191.241 62.104.196.134

Fixe mit HijackThis dies:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=17&q=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=17&q=%s
O9 - Extra button: Corel Network monitor worker - {989A9CD2-6C1C-42A8-A108-B2578A3F18E2} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {989A9CD2-6C1C-42A8-A108-B2578A3F18E2} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Corel Network monitor worker - {989A9CD2-6C1C-42A8-A108-B2578A3F18E2} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {989A9CD2-6C1C-42A8-A108-B2578A3F18E2} - (no file) (HKCU)
O9 - Extra button: MedionShop - {A6747686-5D18-4BA9-9F88-1D27ACFAAB18} - http://www.medionshop.de (file missing) (HKCU)
O16 - DPF: {03C543A1-C090-418F-A1D0-FB96380D601D} (preload control) - http://www.btinternetpayments.com/build/preload.cab
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/...bin/AvSniff.cab
O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/active...ol_v1-0-3-0.cab

Scanne nun mit eScan im abgesicherten Modus und lösche die infizierten Dateien: http://www.trojaner-board.de/42731-escan-anleitung.html

Scheiße Christian, bin doch nen PC Legasteniker, beschreibe bitte fixen!!
Äh,infizierte Datei Trojaner -Info, heißt das etwa das ich mir die Seuche hier bei meinen ersten Besuch eingefangen habe?

Michel

Zitat:

Zitat von *Christian*

Gehe in das Programm HijackThis ...

Setze von den von mir genannten Einträgen ein Häckchen und klicke auf "Fix checked".

Welche infizierte Datei von Trojaner-Info?
Was meinst du damit?

In Deinem letzten Satz schreibst Du:
Scanne nun mit eScan im abgesicherten Modus und lösche die infizierten Dateien: http://www.trojaner-board.de/42731-escan-anleitung.html

Michel

Zitat:

Zitat von *Christian*

Gehe in das Programm HijackThis ...

Setze von den von mir genannten Einträgen ein Häckchen und klicke auf "Fix checked".

Welche infizierte Datei von Trojaner-Info?
Was meinst du damit?

Ja, scanne einfach mal.

Hier bei Trojaner-Info ist mir bislang noch keine Malware untergejubbelt wurden ... :D ;)

Sorry Christian, habs jetzt geschnallt :aplaus: is ja auch nich so einfach für mich!
Werde Dich über das Ergebnis informieren!

Danke Michel

Zitat:

Zitat von *Christian*

Gehe in das Programm HijackThis ...

Setze von den von mir genannten Einträgen ein Häckchen und klicke auf "Fix checked".

Welche infizierte Datei von Trojaner-Info?
Was meinst du damit?