Hallo liebe Tro-com,

habe mir wohl lssas (Wurm ?) eingefangen. shutdown -a kennt mein System nicht, und fixblast von symantec schafft es nicht bis zum Ende.

Habe ältere Version hon hijack. Bitte um dringende Hilfe.

Danke im voraus

joeyblack

Dann lade den HJT neu und poste das Log.
http://www.trojaner-board.de/showthread.php?t=17493

@ felix1

Da shutdown -a nicht funktioniert, könnte das problematisch werden.

@joeyblack

Welches Betriebssystem nutzt du?

@ Cronos

Windows NT 2000

Grüsse,

joeyblack

@ felix1

Hier mein logfile mit HJT 1.99

Logfile of HijackThis v1.99.1
Scan saved at 22:05:42, on 15.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVirenKit professional\AVKService.exe
C:\Programme\AntiVirenKit professional\AVKWCtl.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\WUSB11 WLAN Monitor\WLAN_Cfg.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\system32\ctfmon.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINNT\System32\HPZipm12.exe
C:\Programme\Plextor\PlexIcon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
D:\Eigene Bilder\FixBlast.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\explorer.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\winnt\downloaded program files\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar2.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WLAN_Cfg.exe] C:\Programme\WUSB11 WLAN Monitor\WLAN_Cfg.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Client Access Service] "C:\Programme\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programme\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programme\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programme\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\ipsecdialer.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: officejet 6100.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
O4 - Global Startup: PlexTools Professional.lnk = C:\Programme\Plextor\PlexTool.exe
O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://h**p://toolbar.google.com/dat.../GoogleNav.cab
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} (WebInstall) - http://h**p://membersites.namezero.c...webinstall.cab
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - h**p://www.o2c.de/download/O2CPlayer.CAB
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit professional\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit professional\AVKWCtl.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Grüsse

joeyblack

O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} (WebInstall) - http://membersites.namezero.com/DOT.../webinstall.cab

Wenn Du es nicht kennst, im abgesicherten Modus mit HJT fixen.
Ansonsten mache mal genau nach Anleitung:
http://www.trojaner-board.de/showthread.php?t=17492

...eScan downloaden kein Problem, aber der Virus beendet jedesmal den scan, bevor mwav.log erstell wurde. Habe Adware "Alexa" und"Altnet" gesehen...

Shutdown -a funktioniert wie gesagt nicht, gibt es andere Möglichkeiten ?

Grüße

joeyblack

Hallo,

eScan wurde sicherlich im abgesicherten Modus ausgeführt, oder?! Wenn Nein, dann umgehend nachholen.

@joeyblack

Zitat:

Shutdown -a funktioniert wie gesagt nicht, gibt es andere Möglichkeiten ?

Neuaufsetzen hilft in jedem fall. Link zur Anleitung - in meiner Signatur.

@ cidre

...Nein ! Danke für den guten Hinweis, aber ich als "Buntklicker" und SDU habe daran natürlich nicht gedacht. Wird sofort nachgeholt.

Grüsse

joeyblack

Hallo zusammen,

escan war m.E. erfolgreich. Da mwav.log (18MB) doch sehr gross, folgend nun alles was "infected" war.

Aug 16 18:48:15 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.

Diese Meldung taucht 4x auf, hier das Abschlußergebnis:

Tue Aug 16 21:54:03 2005 => Total Objects Scanned: 94064
Tue Aug 16 21:54:03 2005 => Total Virus(es) Found: 4
Tue Aug 16 21:54:03 2005 => Total Disinfected Files: 0
Tue Aug 16 21:54:03 2005 => Total Files Renamed: 0
Tue Aug 16 21:54:03 2005 => Total Deleted Objects: 0
Tue Aug 16 21:54:03 2005 => Total Errors: 93
Tue Aug 16 21:54:03 2005 => Time Elapsed: 01:25:13
Tue Aug 16 21:54:03 2005 => Virus Database Date: 2005/08/09
Tue Aug 16 21:54:03 2005 => Virus Database Count: 142843

Tue Aug 16 21:54:03 2005 => Scan Completed.

Tue Aug 16 21:57:01 2005 => Virus Database Date: 2005/08/09
Tue Aug 16 21:57:01 2005 => Virus Database Count: 142843
Tue Aug 16 21:57:10 2005 => AV Library Unloaded (3)...

Bin weiter für jede Hilfe/Anweisung dankbar und morgen Abend wieder online.

Danke und Grüße

joeyblack

Lese Dir die Anleitung genau durch. Beachte besonders die Aussagen zu Datei find.bat bezüglich des postens der relevanten Informationen.

Was Du aber schon jetzt mal tun kannst:
Lade und update Ad-aware und Spybot und lasse die Programme laufen.
http://www.comsafe.de/download.html
Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
http://www.clearprog.de/

@ felix1

Ad-aware und spybot durchgeführt. Spybot hat nichts gefunden, Adaware hat einiges in Quarantäne gestellt.

Clean-up mache ich noch.

Bei Find.bat habe ich das Problem, daß ich zwar alles unter Zielordner C:\Bases_X installiert habe, ich es danach dort aber nicht mehr wiederfinde. Mein system installiert es immer in der D:\Partition, von wo aus ich mwavscan.com problemlos im abgesicherten Modus starten kann.

Grüße

joeyblack

Zitat:

Zitat von joeyblack

Mein system installiert es immer in der D:\Partition,

wieso installiert dein System eScan? Du musst den eScan nach dem runterladen mit Klick der rechten Maustaste nach dem Ordner C:\Bases_X entpacken und nicht installieren

@ Gigamail

autsch, unklare Formulierungen ziehen natürlich entsprechende Antworten nach sich.

Natürlich hast Du Recht. Mit der rechten Maustaste auf "Dateien entpacken"... habe ich durchgeführt. Als Zielort habe ich C.\Bases_X angegeben, und es wurde nicht dorthin entpackt, sondern in der D:\-Partition.

Grüße

joeyblack