Logfile of HijackThis v1.98.2
Scan saved at 12:08:51, on 05.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\PROGRA~1\HotKeys\Ikeymain.exe
C:\WINDOWS\SOINTGR.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\kavpf.exe
C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\MSWorks\Kalender\WKCALREM.EXE
C:\PROGRA~1\ANTIVI~1\WEBFIL~1\ADSCLE~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\DOKUME~1\PETRID~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.chello.at/search/at_iesearch.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.chello.at/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.zestyfind.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von chello broadband
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll
O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll
O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll
O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll
O4 - HKLM\..\Run: [codfxrun] "C:\Programme\ATI Multimedia\codfx.exe"
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\HotKeys\Ikeymain.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Microsoft Works Kalender Erinnerungen.lnk = C:\Programme\MSWorks\Kalender\WKCALREM.EXE
O4 - Global Startup: Firewall.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\TV\EXPLBAR.DLL
O9 - Extra button: RealGuide - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {811DDDB7-933B-4717-8A6B-4F86A67E0F9F} - http://www.medionshop.de/ (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\lspak.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lspak.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lspak.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lspak.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.chello.at/
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/bi.../GoogleNav.cab
O16 - DPF: {DDFFA75A-E81D-4454-89FC-B9FD0631E726} - http://www.bundleware.com/activeX/BM2/BM2.cab

Hallo Ruth,

lade Dir zunächst bitte hier Spybot-Search & Destroy 1.3 runter, update das Programm online, deaktiviere dann die Systemwiederherstellung , scanne Deinen Rechner, lass die Probleme beheben.

Boote in den abgesicherten Modus und fixe bei deaktivierter Systemwiederherstellung, mit Hijack This folgende Einträge und die mit (*) gekennzeichneten Einträge, wenn Du sie nicht kennst oder ncht brauchst:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.chello.at/search/at_iesearch.htm
(*) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/
(*) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.chello.at/
(*) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.zestyfind.com/

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

(*) O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll

O4 - Global Startup: Firewall.lnk = ?

(*) O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html
(*) O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_c ollector_sel.htm
(*) O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html
(*) O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_d omain_links.htm
(*) O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html
(*) O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsimilar.html

(*) O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\TV\EXPLBAR.DLL
(*) O9 - Extra button: RealGuide - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: MedionShop - {811DDDB7-933B-4717-8A6B-4F86A67E0F9F} - http://www.medionshop.de/ (file missing) (HKCU)

O10 - Unknown file in Winsock LSP: c:\windows\system32\lspak.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lspak.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lspak.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lspak.dll

O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {DDFFA75A-E81D-4454-89FC-B9FD0631E726} - http://www.bundleware.com/activeX/BM2/BM2.cab

aktiviere die Systemwiederherstellung, boote in den normalen Modus.

Lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Teile uns das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht mehr automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden, siehe eScan 4.5.1.

Poste ein neues HijackThis Logfile.

SD

Hallo,
habe fast alles nach Anweisung erledigt,die "010-Unknown file in Winsock LSP:c:\windows\system32\lspak.dll" dort wo sich mein Tr/Dldr.Agent.br befindet, konnten bis jetzt allerdings noch nicht entfernt werden. Habe den eScan noch nicht gemacht. Dazu eine Frage, wo kann ich den Ordner c:\bases eröffnen. Normalerweise wird bei mir alles in den Eigenen Dateien gespeichert. Ist wahrscheinlich eine blöde Frage, aber ich mach das alles erst zum ersten mal.
Liebe Grüsse

Hallo Ruth,

siehst Du links unten auf Deinem Bildschirm die Start-Taste? Linke Maustaste: klick --> Programme --> Windows Explorer --> damit müsstest Du im Adress-Fensterchen C:\ sehen.

In der Menu-Leiste oberhalb des Adress-Fensterchens hast Du ganz links eine Taste, klick drauf mit der linken Maustaste, dann erscheint ein neues Fensterchen. Geh mit der Maus auf "neu" und klicke in dem nun erscheinenden neuen Fensterchen auf "Ordner". Nun solltest Du einen neuen Ordner unter "C" erstellt haben. Der Text unter dem Ordner ist gleich nach der Erstellung des neuen Ordners blau gefärbt und kann überschrieben werden.

Wenn er nicht mehr überschrieben werden kann, kannst Du mit der rechten Maustaste auf den Ordner klicken und in dem nun erscheinenden Fensterchen "Namen ändern" anklicken. Damit ist die Schrift wieder blau gefärbt und nun kannst Du "bases" reinschreiben. Und wenn's nicht gleich klappt macht das nichts, einfach üben .. ;-)

Zuviel erstellte leere Ordner auf denen sowas wie "neuer Ordner" steht, kannst Du auch wieder löschen: rechte Maustaste ---> löschen

Viel Spaß beim üben ;-) Wir haben alle mal klein angefangen ... es macht Spass mit Computern zu arbeiten. Nimm Dir Zeit und probiere es aus.

Mein Computer spricht leider nicht deutsch mit mir, die Namen, die auf meinen Tasten stehen, sagen Dir garnichts .. und ich weiss nicht alle deutschen Bezeichnungen.

Lieben Gruss
SD

Hallo,
bin wieder am Verzweifeln, war so froh, daß ich alles hinbekommen habe.
Der eScan hat 2 Viren gefunden - File C:\WINDOWS\system 32\lspak.dll infected by "Trojan Downloader.Win 32.Agent.br.Virus - Action Taken: File to be delected on reboot - File C:\Dokumente u. Einstellungen\....\Temp\~vis 0000\rebotnt.exe tagged as not-a-virusTool Win 32 Reboot. No Action Taken.
Beim Neustart ist dann ein kurzer Scan gelaufen - Virus Founds 0 -
also dürfte anscheinen der Trojaner gelöscht worden sein .
Aber das Problem kommt erst. Hatte danach wieder keine Internetverbindung,
habe sie wieder herstellen lassen, aber es erscheinen wieder dieselben Probleme, i-Seite nicht gefunden, kein Outlook-Express, TCP/IP-Fehler - wie bei allen Antivirprogrammen, die ich ausprobiert habe,(es könnte mit der DNS etwas nicht in Ordnung sein, vermutet der Techniker in der Hotline meines Internetproviders, mußte den PC wieder zurücksetzen (vor dem eScan heute mittag) und da funktioniert wieder alles.
Ich denke ich muß weiterhin mit dem Trojaner und ohne AntiVirKit leben.
Vielleicht habt Ihr noch ein paar Tipps für mich.
Liebe Grüsse und Danke

Zitat:

Ich denke ich muß weiterhin mit dem Trojaner und ohne AntiVirKit leben.

Nein, musst du nicht!
Lade dir WinSockFix , lösche den Trojaner nochmal, wende danach WinSockFix an und repariere damit deine verbogenen WinSocks.

Danach funktioniert dein Internet Zugang wieder und der Trojaner ist beseitigt.

Hallo, habe wieder Mut gefaßt, gebe nicht gerne auf. Wollte mir WinsockFix herunterladen, nur verstehe ich nicht ganz wie ich das machen kann. Verstehe zwar ganz gut Englisch, doch das mit dem Proxyserver herunterladen, Netscape usw.verstehe ich nicht. Könnt Ihr mir das erklären oder gibt es noch eine andere Seite wo ich das runterladen kann.
Noch eine Frage, wenn ich das Herunterladen irgendwie schaffen sollte, kann ich das WinsockFix auch vorher machen, und danach den Trojaner entfernen.
Sonst habe ich dann vielleicht wieder keine Internetverbindung und muß das System wieder zurücksetzen um Euch kontaktieren zu können. LG Ruth

Zitat:

Verstehe zwar ganz gut Englisch, doch das mit dem Proxyserver herunterladen, Netscape usw.verstehe ich nicht.

Brauchst du auch nicht!
Lade hier das LSP-Fix , lösche den Trojaner nochmal, wende danach LSP-Fix an und repariere damit deine verbogenen WinSocks.

Hallo,
bin schon wieder hier, wahrscheinlich gehe ich Euch schon auf die Nerven,
habe wieder mal AVK installiert, wieder keine Internetseiten angezeigt, nur die Trojanerwarnungen, hat dann die Suche wegen eines Fehlers abgebrochen um keine Schäden zu verursachen.Ich konnte das leider nicht genau lesen, da es so schnell wieder weg war.
Habe dann den LSP-Fix gemacht - der hat gemeldet - Winsock 2 Registrykey HKEY LOCAL MACHINES Current Control Set\Services\Winsock 2\ Parameter does not exist - Please re-install Winsock 2
Habe AVK wieder deinstalliert und alles funktioniert wieder (Trojaner aber noch vorhanden)
Habe noch eine Frage - mit welchem Programm kann ich dll - Dateien öffnen und mir ansehen was drinnen steht?
Muß anscheinend doch mit Trojaner und ohne AVK leben.
Ich bin Euch aber für alle Tipps sehr dankbar, habe viel Interessantes gelernt.
Falls Ihr mir noch irgendwelche Tipps geben könnt wäre ich sehr dankbar.
LG Ruth