Trojaner-Board - Hilfe "TR/Dldr.Small.MT"

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Hilfe "TR/Dldr.Small.MT" (https://www.trojaner-board.de/9856-hilfe-tr-dldr-small-mt.html)

Hilfe "TR/Dldr.Small.MT"

Hallo, ich brache hilfe. Wenn ich mein System Starte bekomme ich die Meldung von "AntiVir XP", das ich dateien habe die mit dem "TR/Dldr.Small.MT" verseucht sind.
diese kann ich dann löschen.
in meinem Internet Explorer habe ich dann eine andere Startseite als die übliche Leere Seite.
habe schon "Spybot - Search & Destroy" und "Ad-Aware SE Personal" laufen lassen. auch im sicheren Modus.
Jedesmal wenn ich neu Starte das selbe.
Habe WIN XP.
Was kann ich tun ??

Hallo,

Hole dir HijackThis und poste bitte eine Log.

Hallo,

ich hoffe das ist das richtige:

Logfile of HijackThis v1.98.2
Scan saved at 11:58:38, on 21.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NCLConf.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\Mpapi3s.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\progra~1\scansoft\paperp~1\pptd40nt.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\winmm64.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\DOKUME~1\max\LOKALE~1\Temp\x7r8egukmrc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
F:\Installation\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aflashcounter.com/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://aflashcounter.com/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aflashcounter.com/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://aflashcounter.com/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aflashcounter.com/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://aflashcounter.com/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://aflashcounter.com/?a=2
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://aflashcounter.com/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://aflashcounter.com/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://aflashcounter.com/?a=2
R3 - URLSearchHook: (no name) - {1E8D36AE-E63C-67BF-40B0-48E24715F9BA} - C:\DOKUME~1\max\LOKALE~1\Temp\ob7f931.exe (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NCLConf.exe"
O4 - HKLM\..\Run: [jv16 PT TempFileTool] "C:\Programme\jv16 PowerTools\Plug-Ins\TempTool.exe" -Startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [hpppta] C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan\hpppta.exe /ICON
O4 - HKLM\..\Run: [zzzHPSETUP] G:\HP\SCANJET5550C\Setup.exe
O4 - HKLM\..\Run: [PaperPort PTD] c:\progra~1\scansoft\paperp~1\pptd40nt.exe
O4 - HKLM\..\Run: [FA0DD2DE] C:\DOKUME~1\max\LOKALE~1\Temp\7uzbgxka2wr.exe
O4 - HKLM\..\Run: [A6A73BFB] C:\DOKUME~1\max\LOKALE~1\Temp\ppvk7ua.exe
O4 - HKLM\..\Run: [9465FCEE] C:\DOKUME~1\max\LOKALE~1\Temp\o7xwvv02e2.exe
O4 - HKLM\..\Run: [BEC5956B] C:\DOKUME~1\max\LOKALE~1\Temp\wppz1aev0hs.exe
O4 - HKLM\..\Run: [AF214FE3] C:\DOKUME~1\max\LOKALE~1\Temp\1pepckt.exe
O4 - HKLM\..\Run: [D44525F3] C:\DOKUME~1\max\LOKALE~1\Temp\93cjbv.exe
O4 - HKLM\..\Run: [F695D143] C:\DOKUME~1\max\LOKALE~1\Temp\huha1k.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AEA8D08E] C:\DOKUME~1\max\LOKALE~1\Temp\orhh29xt6xh.exe
O4 - HKLM\..\Run: [9B268EC3] C:\DOKUME~1\max\LOKALE~1\Temp\u2uo.exe
O4 - HKLM\..\Run: [8A2CA4F3] C:\DOKUME~1\max\LOKALE~1\Temp\ob7f931.exe
O4 - HKLM\..\Run: [0CF79256] C:\DOKUME~1\max\LOKALE~1\Temp\e1qic.exe
O4 - HKLM\..\Run: [FA06D4C3] C:\DOKUME~1\max\LOKALE~1\Temp\aaug.exe
O4 - HKLM\..\Run: [00DDE1EE] C:\DOKUME~1\max\LOKALE~1\Temp\o37.exe
O4 - HKLM\..\Run: [86642343] C:\DOKUME~1\max\LOKALE~1\Temp\n88n.exe
O4 - HKLM\..\Run: [AEFF58D6] C:\DOKUME~1\max\LOKALE~1\Temp\lc7l0.exe
O4 - HKLM\..\Run: [D93CDBD3] C:\DOKUME~1\max\LOKALE~1\Temp\b5dlryt2av.exe
O4 - HKLM\..\Run: [56729D6E] C:\DOKUME~1\max\LOKALE~1\Temp\lly.exe
O4 - HKLM\..\Run: [848E776B] C:\DOKUME~1\max\LOKALE~1\Temp\l8gfpro1.exe
O4 - HKLM\..\Run: [BF6EDC46] C:\DOKUME~1\max\LOKALE~1\Temp\wu53vu.exe
O4 - HKLM\..\Run: [A3C6BA46] C:\DOKUME~1\max\LOKALE~1\Temp\60sh.exe
O4 - HKLM\..\Run: [8B2195C3] C:\DOKUME~1\max\LOKALE~1\Temp\m75p.exe
O4 - HKLM\..\Run: [AAA58CC3] C:\DOKUME~1\max\LOKALE~1\Temp\ewhf.exe
O4 - HKLM\..\Run: [E0007756] C:\DOKUME~1\max\LOKALE~1\Temp\czcq2nsp.exe
O4 - HKLM\..\Run: [D90F1F63] C:\DOKUME~1\max\LOKALE~1\Temp\x7r8egukmrc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpywareGuardPlus] C:\WINDOWS\system32\winmm64.exe
O4 - HKCU\..\Run: [orhh] C:\WINDOWS\orhh.exe
O4 - HKCU\..\Run: [PEhh] C:\WINDOWS\PEhh.exe
O4 - HKCU\..\Run: [FA0DD2DE] C:\DOKUME~1\max\LOKALE~1\Temp\7uzbgxka2wr.exe
O4 - HKCU\..\Run: [hhSPsySPSP] C:\WINDOWS\hhSPsySPSP.exe
O4 - HKCU\..\Run: [nts-64orPE] C:\WINDOWS\nts-64orPE.exe
O4 - HKCU\..\Run: [A6A73BFB] C:\DOKUME~1\max\LOKALE~1\Temp\ppvk7ua.exe
O4 - HKCU\..\Run: [9465FCEE] C:\DOKUME~1\max\LOKALE~1\Temp\o7xwvv02e2.exe
O4 - HKCU\..\Run: [BEC5956B] C:\DOKUME~1\max\LOKALE~1\Temp\wppz1aev0hs.exe
O4 - HKCU\..\Run: [AF214FE3] C:\DOKUME~1\max\LOKALE~1\Temp\1pepckt.exe
O4 - HKCU\..\Run: [D44525F3] C:\DOKUME~1\max\LOKALE~1\Temp\93cjbv.exe
O4 - HKCU\..\Run: [F695D143] C:\DOKUME~1\max\LOKALE~1\Temp\huha1k.exe
O4 - HKCU\..\Run: [AEA8D08E] C:\DOKUME~1\max\LOKALE~1\Temp\orhh29xt6xh.exe
O4 - HKCU\..\Run: [9B268EC3] C:\DOKUME~1\max\LOKALE~1\Temp\u2uo.exe
O4 - HKCU\..\Run: [8A2CA4F3] C:\DOKUME~1\max\LOKALE~1\Temp\ob7f931.exe
O4 - HKCU\..\Run: [0CF79256] C:\DOKUME~1\max\LOKALE~1\Temp\e1qic.exe
O4 - HKCU\..\Run: [FA06D4C3] C:\DOKUME~1\max\LOKALE~1\Temp\aaug.exe
O4 - HKCU\..\Run: [00DDE1EE] C:\DOKUME~1\max\LOKALE~1\Temp\o37.exe
O4 - HKCU\..\Run: [86642343] C:\DOKUME~1\max\LOKALE~1\Temp\n88n.exe
O4 - HKCU\..\Run: [AEFF58D6] C:\DOKUME~1\max\LOKALE~1\Temp\lc7l0.exe
O4 - HKCU\..\Run: [D93CDBD3] C:\DOKUME~1\max\LOKALE~1\Temp\b5dlryt2av.exe
O4 - HKCU\..\Run: [56729D6E] C:\DOKUME~1\max\LOKALE~1\Temp\lly.exe
O4 - HKCU\..\Run: [848E776B] C:\DOKUME~1\max\LOKALE~1\Temp\l8gfpro1.exe
O4 - HKCU\..\Run: [BF6EDC46] C:\DOKUME~1\max\LOKALE~1\Temp\wu53vu.exe
O4 - HKCU\..\Run: [A3C6BA46] C:\DOKUME~1\max\LOKALE~1\Temp\60sh.exe
O4 - HKCU\..\Run: [8B2195C3] C:\DOKUME~1\max\LOKALE~1\Temp\m75p.exe
O4 - HKCU\..\Run: [AAA58CC3] C:\DOKUME~1\max\LOKALE~1\Temp\ewhf.exe
O4 - HKCU\..\Run: [E0007756] C:\DOKUME~1\max\LOKALE~1\Temp\czcq2nsp.exe
O4 - HKCU\..\Run: [D90F1F63] C:\DOKUME~1\max\LOKALE~1\Temp\x7r8egukmrc.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100955059945
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all04.kundenserver.de/app/...vex/msxml4.cab

Hallo,

noch ein paar Informationen:

In dem Verzeichnis: C:\Dokumente und Einstellungen\max\Lokale Einstellungen\Temp
finde ich immer wieder neue *.exe Files die ich nicht löschen kann.
z.B. "x7r8egukmrc.exe"

Des Weiteren habe ich neue Einträge in meinen Favoriten. Wenn ich sie lösche, kommen beim nächsten start des Explorers neu :mad:

Gruss Megamax

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Warum wurde dein System nicht gepatcht!

Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

Alle R0, R1 und R3 Einträge
O4 - HKLM\..\Run: [FA0DD2DE] C:\DOKUME~1\max\LOKALE~1\Temp\7uzbgxka2wr.exe
O4 - HKLM\..\Run: [A6A73BFB] C:\DOKUME~1\max\LOKALE~1\Temp\ppvk7ua.exe
O4 - HKLM\..\Run: [9465FCEE] C:\DOKUME~1\max\LOKALE~1\Temp\o7xwvv02e2.exe
O4 - HKLM\..\Run: [BEC5956B] C:\DOKUME~1\max\LOKALE~1\Temp\wppz1aev0hs.exe
O4 - HKLM\..\Run: [AF214FE3] C:\DOKUME~1\max\LOKALE~1\Temp\1pepckt.exe
O4 - HKLM\..\Run: [D44525F3] C:\DOKUME~1\max\LOKALE~1\Temp\93cjbv.exe
O4 - HKLM\..\Run: [F695D143] C:\DOKUME~1\max\LOKALE~1\Temp\huha1k.exe
O4 - HKLM\..\Run: [AEA8D08E] C:\DOKUME~1\max\LOKALE~1\Temp\orhh29xt6xh.exe
O4 - HKLM\..\Run: [9B268EC3] C:\DOKUME~1\max\LOKALE~1\Temp\u2uo.exe
O4 - HKLM\..\Run: [8A2CA4F3] C:\DOKUME~1\max\LOKALE~1\Temp\ob7f931.exe
O4 - HKLM\..\Run: [0CF79256] C:\DOKUME~1\max\LOKALE~1\Temp\e1qic.exe
O4 - HKLM\..\Run: [FA06D4C3] C:\DOKUME~1\max\LOKALE~1\Temp\aaug.exe
O4 - HKLM\..\Run: [00DDE1EE] C:\DOKUME~1\max\LOKALE~1\Temp\o37.exe
O4 - HKLM\..\Run: [86642343] C:\DOKUME~1\max\LOKALE~1\Temp\n88n.exe
O4 - HKLM\..\Run: [AEFF58D6] C:\DOKUME~1\max\LOKALE~1\Temp\lc7l0.exe
O4 - HKLM\..\Run: [D93CDBD3] C:\DOKUME~1\max\LOKALE~1\Temp\b5dlryt2av.exe
O4 - HKLM\..\Run: [56729D6E] C:\DOKUME~1\max\LOKALE~1\Temp\lly.exe
O4 - HKLM\..\Run: [848E776B] C:\DOKUME~1\max\LOKALE~1\Temp\l8gfpro1.exe
O4 - HKLM\..\Run: [BF6EDC46] C:\DOKUME~1\max\LOKALE~1\Temp\wu53vu.exe
O4 - HKLM\..\Run: [A3C6BA46] C:\DOKUME~1\max\LOKALE~1\Temp\60sh.exe
O4 - HKLM\..\Run: [8B2195C3] C:\DOKUME~1\max\LOKALE~1\Temp\m75p.exe
O4 - HKLM\..\Run: [AAA58CC3] C:\DOKUME~1\max\LOKALE~1\Temp\ewhf.exe
O4 - HKLM\..\Run: [E0007756] C:\DOKUME~1\max\LOKALE~1\Temp\czcq2nsp.exe
O4 - HKLM\..\Run: [D90F1F63] C:\DOKUME~1\max\LOKALE~1\Temp\x7r8egukmrc.exe
O4 - HKCU\..\Run: [SpywareGuardPlus] C:\WINDOWS\system32\winmm64.exe
O4 - HKCU\..\Run: [orhh] C:\WINDOWS\orhh.exe
O4 - HKCU\..\Run: [PEhh] C:\WINDOWS\PEhh.exe
O4 - HKCU\..\Run: [FA0DD2DE] C:\DOKUME~1\max\LOKALE~1\Temp\7uzbgxka2wr.exe
O4 - HKCU\..\Run: [hhSPsySPSP] C:\WINDOWS\hhSPsySPSP.exe
O4 - HKCU\..\Run: [nts-64orPE] C:\WINDOWS\nts-64orPE.exe
O4 - HKCU\..\Run: [A6A73BFB] C:\DOKUME~1\max\LOKALE~1\Temp\ppvk7ua.exe
O4 - HKCU\..\Run: [9465FCEE] C:\DOKUME~1\max\LOKALE~1\Temp\o7xwvv02e2.exe
O4 - HKCU\..\Run: [BEC5956B] C:\DOKUME~1\max\LOKALE~1\Temp\wppz1aev0hs.exe
O4 - HKCU\..\Run: [AF214FE3] C:\DOKUME~1\max\LOKALE~1\Temp\1pepckt.exe
O4 - HKCU\..\Run: [D44525F3] C:\DOKUME~1\max\LOKALE~1\Temp\93cjbv.exe
O4 - HKCU\..\Run: [F695D143] C:\DOKUME~1\max\LOKALE~1\Temp\huha1k.exe
O4 - HKCU\..\Run: [AEA8D08E] C:\DOKUME~1\max\LOKALE~1\Temp\orhh29xt6xh.exe
O4 - HKCU\..\Run: [9B268EC3] C:\DOKUME~1\max\LOKALE~1\Temp\u2uo.exe
O4 - HKCU\..\Run: [8A2CA4F3] C:\DOKUME~1\max\LOKALE~1\Temp\ob7f931.exe
O4 - HKCU\..\Run: [0CF79256] C:\DOKUME~1\max\LOKALE~1\Temp\e1qic.exe
O4 - HKCU\..\Run: [FA06D4C3] C:\DOKUME~1\max\LOKALE~1\Temp\aaug.exe
O4 - HKCU\..\Run: [00DDE1EE] C:\DOKUME~1\max\LOKALE~1\Temp\o37.exe
O4 - HKCU\..\Run: [86642343] C:\DOKUME~1\max\LOKALE~1\Temp\n88n.exe
O4 - HKCU\..\Run: [AEFF58D6] C:\DOKUME~1\max\LOKALE~1\Temp\lc7l0.exe
O4 - HKCU\..\Run: [D93CDBD3] C:\DOKUME~1\max\LOKALE~1\Temp\b5dlryt2av.exe
O4 - HKCU\..\Run: [56729D6E] C:\DOKUME~1\max\LOKALE~1\Temp\lly.exe
O4 - HKCU\..\Run: [848E776B] C:\DOKUME~1\max\LOKALE~1\Temp\l8gfpro1.exe
O4 - HKCU\..\Run: [BF6EDC46] C:\DOKUME~1\max\LOKALE~1\Temp\wu53vu.exe
O4 - HKCU\..\Run: [A3C6BA46] C:\DOKUME~1\max\LOKALE~1\Temp\60sh.exe
O4 - HKCU\..\Run: [8B2195C3] C:\DOKUME~1\max\LOKALE~1\Temp\m75p.exe
O4 - HKCU\..\Run: [AAA58CC3] C:\DOKUME~1\max\LOKALE~1\Temp\ewhf.exe
O4 - HKCU\..\Run: [E0007756] C:\DOKUME~1\max\LOKALE~1\Temp\czcq2nsp.exe
O4 - HKCU\..\Run: [D90F1F63] C:\DOKUME~1\max\LOKALE~1\Temp\x7r8egukmrc.exe

Lösche diese Dateien:
Leere den kompletten Ordner C:\DOKUME~1\max\LOKALE~1\Temp
C:\WINDOWS\system32\winmm64.exe
C:\WINDOWS\orhh.exe
C:\WINDOWS\PEhh.exe
C:\WINDOWS\hhSPsySPSP.exe
C:\WINDOWS\nts-64orPE.exe

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html
- interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HiJackThis und die Virus Log Information von eScan posten

Hallo noch einmal, habe alles durchgeführt.

Jetzt der neue Log:

Logfile of HijackThis v1.98.2
Scan saved at 21:39:49, on 21.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NCLConf.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\Mpapi3s.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\progra~1\scansoft\paperp~1\pptd40nt.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\FRITZ!\IWatch.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\WinZip\WZQKPICK.EXE
F:\Installation\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NCLConf.exe"
O4 - HKLM\..\Run: [jv16 PT TempFileTool] "C:\Programme\jv16 PowerTools\Plug-Ins\TempTool.exe" -Startup
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [hpppta] C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan\hpppta.exe /ICON
O4 - HKLM\..\Run: [PaperPort PTD] c:\progra~1\scansoft\paperp~1\pptd40nt.exe
O4 - HKLM\..\Run: [A6A73BFB] C:\DOKUME~1\max\LOKALE~1\Temp\ppvk7ua.exe
O4 - HKLM\..\Run: [BEC5956B] C:\DOKUME~1\max\LOKALE~1\Temp\wppz1aev0hs.exe
O4 - HKLM\..\Run: [D44525F3] C:\DOKUME~1\max\LOKALE~1\Temp\93cjbv.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [9B268EC3] C:\DOKUME~1\max\LOKALE~1\Temp\u2uo.exe
O4 - HKLM\..\Run: [0CF79256] C:\DOKUME~1\max\LOKALE~1\Temp\e1qic.exe
O4 - HKLM\..\Run: [00DDE1EE] C:\DOKUME~1\max\LOKALE~1\Temp\o37.exe
O4 - HKLM\..\Run: [AEFF58D6] C:\DOKUME~1\max\LOKALE~1\Temp\lc7l0.exe
O4 - HKLM\..\Run: [56729D6E] C:\DOKUME~1\max\LOKALE~1\Temp\lly.exe
O4 - HKLM\..\Run: [BF6EDC46] C:\DOKUME~1\max\LOKALE~1\Temp\wu53vu.exe
O4 - HKLM\..\Run: [8B2195C3] C:\DOKUME~1\max\LOKALE~1\Temp\m75p.exe
O4 - HKLM\..\Run: [E0007756] C:\DOKUME~1\max\LOKALE~1\Temp\czcq2nsp.exe
O4 - HKLM\..\Run: [D90F1F63] C:\DOKUME~1\max\LOKALE~1\Temp\x7r8egukmrc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpywareGuardPlus] C:\WINDOWS\system32\winmm64.exe
O4 - HKCU\..\Run: [orhh] C:\WINDOWS\orhh.exe
O4 - HKCU\..\Run: [PEhh] C:\WINDOWS\PEhh.exe
O4 - HKCU\..\Run: [hhSPsySPSP] C:\WINDOWS\hhSPsySPSP.exe
O4 - HKCU\..\Run: [nts-64orPE] C:\WINDOWS\nts-64orPE.exe
O4 - HKCU\..\Run: [9465FCEE] C:\DOKUME~1\max\LOKALE~1\Temp\o7xwvv02e2.exe
O4 - HKCU\..\Run: [AF214FE3] C:\DOKUME~1\max\LOKALE~1\Temp\1pepckt.exe
O4 - HKCU\..\Run: [F695D143] C:\DOKUME~1\max\LOKALE~1\Temp\huha1k.exe
O4 - HKCU\..\Run: [9B268EC3] C:\DOKUME~1\max\LOKALE~1\Temp\u2uo.exe
O4 - HKCU\..\Run: [0CF79256] C:\DOKUME~1\max\LOKALE~1\Temp\e1qic.exe
O4 - HKCU\..\Run: [00DDE1EE] C:\DOKUME~1\max\LOKALE~1\Temp\o37.exe
O4 - HKCU\..\Run: [AEFF58D6] C:\DOKUME~1\max\LOKALE~1\Temp\lc7l0.exe
O4 - HKCU\..\Run: [56729D6E] C:\DOKUME~1\max\LOKALE~1\Temp\lly.exe
O4 - HKCU\..\Run: [BF6EDC46] C:\DOKUME~1\max\LOKALE~1\Temp\wu53vu.exe
O4 - HKCU\..\Run: [8B2195C3] C:\DOKUME~1\max\LOKALE~1\Temp\m75p.exe
O4 - HKCU\..\Run: [E0007756] C:\DOKUME~1\max\LOKALE~1\Temp\czcq2nsp.exe
O4 - HKCU\..\Run: [D90F1F63] C:\DOKUME~1\max\LOKALE~1\Temp\x7r8egukmrc.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101068896757
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all04.kundenserver.de/app/...vex/msxml4.cab

Zitat:

Hallo noch einmal, habe alles durchgeführt.

Bist du dir da sicher?

Zitat:

- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html Zweilelhaft
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org Fehlt
- neues Log-File von HiJackThis und die Virus Log Information von eScan posten eScan Log fehlt

Die zu löschen Dateien wurden auch nicht entfernt!
Woran lag es?

Ich habe es noch mal überprüft:

Logfile of HijackThis v1.98.2
Scan saved at 21:20:44, on 22.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NCLConf.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\Mpapi3s.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\progra~1\scansoft\paperp~1\pptd40nt.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\iexplore.exe
F:\Installation\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NCLConf.exe"
O4 - HKLM\..\Run: [jv16 PT TempFileTool] "C:\Programme\jv16 PowerTools\Plug-Ins\TempTool.exe" -Startup
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [hpppta] C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan\hpppta.exe /ICON
O4 - HKLM\..\Run: [PaperPort PTD] c:\progra~1\scansoft\paperp~1\pptd40nt.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101068896757
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all04.kundenserver.de/app/...vex/msxml4.cab

Und den Virus log:

File C:\Programme\Gemeinsame Dateien\Siemens AG Shared\DESServer.exe tagged as not-a-virus:AdWare.WindowEnhancer. No Action Taken.
File F:\Installation\Nokia\VisualBasic\Msvbvm50.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\Installation\Nokia\Nokia Startuplogoeditor\nsle_setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\Installation\Nokia\Nokia Smart Messaging\nsma_setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\Installation\Deutsche Post\Setup Postpaket 2.11.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\Installation\agfreesetup\agfreesetup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\Installation\Handy\S55\Siemens S55\Software\Cool Edit Pro v1.1\ra-cep11a.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\Installation\Handy\S55\Siemens S55\Software\Mobile Music Polyphonic v1.3\patch.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken.
File F:\Installation\Handy\S55\Siemens S55\Software\Setup Data Exchange Software\DESServer.exe tagged as not-a-virus:AdWare.WindowEnhancer. No Action Taken.
File F:\Installation\divx\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\Installation\divx\DivXPro5GAINBundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Mozilla habe ich noch nicht installiert. Download läuft gerade. :crazy:

Sieht doch gleich ganz anders aus, gell. ;)

Poste nochmals die Virus Log Information, aber diesmal so:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Hey Cidre,

erst einmal Danke für deine Mühe und Geduld. :aplaus:

Ich habe nur zwei Einträge gefunden:

C:\Programme\AVPersonal\INFECTED\*.*
Mon Nov 22 00:01:22 2004 => Total Disinfected Files: 0

Sieht doch ganz gut aus oder :confused:

Sagt mal ist eine Firewall zu empfehlen und wenn ja welche ?

gruss Megamax

@Megamax
zur firewalls
es gibt da viele auf dem markt, manche user hier raten es sogar ab.
es ist deine entscheidung ob du einen benützt oder nicht.
gebe ich dir einen roten tip, fallen die gelben über mich her :D
rate ich dir zu gelb, dann kommen die roten.:D
deswegen bleibe ich neutral

chaosman :aplaus:

@ Megamax

Sieht gut aus.

btw:

Ich verwende keine Desktop Firewall, setze nur bedingt AV Scanner ein und surfe trotzdem sicher durchs Netz. Mein System ist auch nicht kompromittiert. Dennoch ist man nie vor einer Kompromittierung gefeit, denn 100% Schutz gibt es nicht und auch der User macht eventuell mal einen Fehler.
Hierbei ist es wichtig, dass das System dementsprechend abgesichert wurde und man sich an einige Spielregeln hält.
Lese dir mal folgende Links durch und bilde dir dann deine eigene Meinung:
http://www.mathematik.uni-marburg.de...ompromise.html
http://www.ntsvcfg.de/linkblock.html

habe ebenfalls dies problem könnte mir jemand dabei helfen?!

@unimatrix
poste ein hijackthis log in einem neuen Thema http://www.trojaner-board.de/51130-a...ijackthis.html