Hallo Leute. Bin neu hier und hab ein Problem.

Es begann alles heute mittag, als ich im Netz wieder mal (mit meinem alten "I-Explorer 6.0") rumgesurft bin. Da öffnete sich aufeinmal ein Fenster, dass mir signalisierte, dass ich wahrscheinlich "infected" bin. Daraufhin hat man mir ein programm angeboten, dass meinen pc durchscant ("MalwareAlarm 2.1" müsste das sein). Es stellte sich heraus, dass ich einige Trojaner bei mir draufhatte. Einige ließen sich löschen, doch 3 ließen sich nicht löschen...

Dann habe ich mir in diesem Forum Rat gesucht und hab mir dieses "HiJackThis" runtergeladen und hoffe, dass ihr mir nun helfen könnt.

Bevor ich das Log vollständig erstellen konnte, erschien noch diese Fehlermeldung:


"An unexpected error has occurred at procedure: modMain_CheckOther1Item()
Error #75 - Path/File access error

Please email me at merijn@spywareinfo.com, reporting the following:
* What you were trying to fix when the error occurred, if applicable
* How you can reproduce the error
* A complete HijackThis scan log, if possible

Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2800.1106
HijackThis version: 1.99.1

This message has been copied to your clipboard.
Click OK to continue the rest of the scan."


Ich muss dazu sagen, dass ich einen sehr alten Rechner habe, auf dem nicht sehr viel installiert ist (zumal ich garnichts installieren kann, weil mein vater mein benutzerkonto nicht als "administrator" eingestellt hat...)

Hier ist das vollständige HijackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 15:28:53, on 04.07.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\RunDll32.exe
E:\AOL 9.0\aoltray.exe
C:\Programme\Hama\Common\RaUI.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Sonstiges\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w*w.aol.de/e60/suche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://w*w.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msadd32] RunDll32.exe "E:\msadd32.dll",DNSetup
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [MalwareAlarm] C:\Program Files\MalwareAlarm\MalwareAlarm.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = E:\AOL 9.0\aoltray.exe
O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://w*w.aol.de/e60/
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe

Hallo,

also du scheinst dir in dieser Datei :

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

einen kleinen netten Wurm an Land gezogen zu haben.
Und da dein System kein einziges Update von dir spendiert bekommen hat würde ich dir raten es nach Anleitung in meiner Signatur neu aufzusetzen.

Hallo und im Trojaner Board!



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

E:\msadd32.dll
C:\Windows\xpupdate.exe
C:\Program Files\MalwareAlarm\MalwareAlarm.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.



Gruß
Sunny

Oh Sunny nicht schlecht,cooles Outfit..

Habe in diesem Fall den schnellen und einfachen Weg gewählt.

Gruß

Zitat:

Zitat von hoerni26

Oh Sunny nicht schlecht,cooles Outfit..

Habe in diesem Fall den schnellen und einfachen Weg gewählt.

Gruß

Wollte ich auch erst , aber rein psychisch ist es meiner Ansicht immer besser dem TO durch Virustotal zu zeigen, was da wirklich im System läuft.

Kennst doch die Diskussion zum Thema: Neuinstallation.

Aber schnell warst du..

Ja hast recht.
Muss auch sagen das ich mich erst einmal wieder hier an Board gewöhnen muss.
War schon ewig nicht mehr hier.

Zitat:

Zitat von hoerni26

Ja hast recht.
Muss auch sagen das ich mich erst einmal wieder hier an Board gewöhnen muss.
War schon ewig nicht mehr hier.

Merkt man garnicht...dafür das ich mich fünf Tage eher angemeldet habe und kanpp 3000 Beiträge Vorsprung hab...

Jetzt hab ich gleich 2 Vorschläge bekommen xD

Ich befolge erstmal den Rat von Sunny, denn auf eine Neuinstallation hätte ich jetzt echt kb...

Datei 1 (msadd32.dll):

Antivirus Version Update Result
AhnLab-V3 2007.7.4.0 07.04.2007 Win-Trojan/Klone.20891
AntiVir 7.4.0.37 07.04.2007 TR/PCK.Klone.K.21
Authentium 4.93.8 07.03.2007 no virus found
Avast 4.7.997.0 07.03.2007 Win32:Klone-BY
AVG 7.5.0.476 07.03.2007 Generic4.GDP
BitDefender 7.2 07.04.2007 Trojan.Downloader.ConHook.AJ
CAT-QuickHeal 9.00 07.03.2007 Trojan.Klone.k
ClamAV devel-20070416 07.04.2007 Trojan.BHO-53
DrWeb 4.33 07.04.2007 no virus found
eSafe 7.0.15.0 07.03.2007 Win32.Klone.k
eTrust-Vet 30.8.3762 07.04.2007 Win32/Darksma.AW
Ewido 4.0 07.04.2007 Trojan.Klone.k
FileAdvisor 1 07.04.2007 High threat detected
Fortinet 2.91.0.0 07.03.2007 W32/Klone.K!tr
F-Prot 4.3.2.48 07.03.2007 no virus found
F-Secure 6.70.13030.0 07.04.2007 Packed.Win32.Klone.k
Ikarus T3.1.1.8 07.04.2007 Trojan-Spy.Win32.Bancos.ha
Kaspersky 4.0.2.24 07.04.2007 Packed.Win32.Klone.k
McAfee 5066 07.03.2007 Downloader-AWX
Microsoft 1.2701 07.04.2007 VirTool:Win32/Obfuscator.C
NOD32v2 2378 07.04.2007 no virus found
Norman 5.80.02 07.04.2007 W32/Suspicious_U.gen
Panda 9.0.0.4 07.04.2007 Trj/Conhook.BV
Sophos 4.19.0 06.28.2007 Troj/Candun-F
Sunbelt 2.2.907.0 07.04.2007 Packed.Win32.Klone.k
Symantec 10 07.04.2007 Trojan.Duntek
TheHacker 6.1.6.142 07.04.2007 Trojan/Klone.k
VBA32 3.12.0.2 07.03.2007 no virus found
VirusBuster 4.3.23:9 07.03.2007
Webwasher-Gateway 6.0.1 07.04.2007 Trojan.PCK.Klone.K.21


Aditional Information
File size: 20891 bytes
MD5: 940912e8f5442b95b4a5aad53ae3576d

Datei 2 (C:\Windows\xpupdate.exe)

Leeres Webfenster mit der Schrift "0 bytes size received"

Datei 3 (C:\Program Files\MalwareAlarm\MalwareAlarm.exe)

Hierzu muss ich sagen, dass ich den ganzen Ordner "MalwareAlarm" schon längst gelöscht habe...


und nun?

Nun folgst auf Grund deiner eigenen Erkenntnis doch der Anleitung von Hörny zur Neuinstallation,oder etwa nicht ?
Irrlicht

1. kenn ich mich nicht so mit pc-systemen aus, deshalb sagen mir diese ganzen dateien nix

2. ich kann keine neu-installation machen, weil mein vater die entsprechenden cds hat. und wenn ich ihm sage, dass mein pc "verseucht" is, wird er so ausflippen, dass er mir den wieder wegnimmt...

3. Gibts keine andere Möglichkeit?

Hallo

Zitat:

ich kann keine neu-installation machen, weil mein vater die entsprechenden cds hat. und wenn ich ihm sage, dass mein pc "verseucht" is, wird er so ausflippen, dass er mir den wieder wegnimmt...

dann zeige ihm diesen Beitrag hier, dass dein System im Ar... ist liegt in erster Linie an deinem Vater, er hat versäumt den Rechner auf einen aktuellen und somit etwas sicheren Patchstand zu bringen, er hat doch Adminrechte also soll er auch dafür sorgen, dass die Kiste aktuell gepacht ist.

Zitat:

Gibts keine andere Möglichkeit?

eher nicht, dadurch das dir sämtliche Sicherheitsupdates fehlen brauchst im I-Net nur Online sein und früher oder später kommt ein Wurm der sich über ungepatchte Sicherheitslücken auf dem System breit macht ohne das du etwas dafür kannst und dann ist die Wurst warm...
So genug...

MFG