Hallo,ich bins wieder *g* aber diesmal mit einen anderen pc.

Ich hab heute mal den Pc von meinen Freund durchscannen lassen.HiJackThis war normal laut automatischer Auswertung. Beim EScan kam nur folgendes,wobei ich annehme das es nichts schlimmes ist:
C:Windows
MSRStRT.exe not a virus


aber beim scannen von Bitdefender hat er mir den Trojaner aufgezeichnet:

Trojan Adware.Webhancer.A der liegt im Pfad Cokumente und Einstellungen


über Google hab ich jetzt nicht soviel gefunden,auf jeden Fall nichts womit ich den wieder wegbekomme.

hier nochmal mein logfile von hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 00:29:37, on 31.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\OpenOffice.org1.1.2\program\soffice.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\hijackthis1982\HijackThis.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [codfxrun] "C:\Programme\ATI Multimedia\codfx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [Steam] "c:\valve\steam\steam.exe" -silent
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\TV\EXPLBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6804B43C-DD1C-4F9D-864E-1D9204C31FE7}: NameServer = 192.168.122.252,192.168.122.253


edit: Antivir hat auch nichts weiter angezeigt nur der Bitdefender

1. Hast du es schon mit eScan probiert?
2. Bitdefender (google) bietet doch Entfernungstools an, oder?
cacatoa

bei escan kommt nur die nachricht :

C:Windows Msrstrt.exe not taken as a virus

bei google hab ich nichts gefunden hm muss ich nochmal schauen.

Edit: hab bei bitdefender bei den entfernungstools geschaut,da ist aber nichts dabei.

Hi, Ravencraaft,
schau mal hier

danke für den link,aber ausser den statistiken sind da keine weiteren tools angegeben zum entfernen.

Hi,
probiers doch mit dem Bitdefender Online-scan. vielleicht gibt´s dort eine Lösung dazu.

so hallo nochmal,

ich komm mir langsam etwas veräppelt vor von bitdefender *g*. der onlinescan zeigt wieder nix an, mein pc wäre also clean.

Hi,
kann es sein, daß Du im Quarantäneordner was drin hast, oder inirgendeinem temp-file?
Lade Dir Clearprog runter und lass es laufen (Alle Häkchen setzen und auf löschen clicken) und scanne dann nochmal mit Deinem Bitdefender.
Interessiert mich, was da rauskommt.
cacatoa

er zeigt mir dann immer noch den Trojaner an. im quarantäneordner ist nichts drin,hab ich schon geschaut.

Geh mal hier ins supportcenter, vielleicht gibt´s da was. Ich weiß im Moment sonst auch nichts mehr. Sorry

hab jetzt alles probiert und weiss auch keinen rat mehr. hm weiss einer was dieser trojaner genau macht?

@Ravencraaft
kuckst du hier
http://board.protecus.de/showtopic.php?threadid=9147

wechsle danach in den abgesicherten modus und fixe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
neu starten
wenn du einen datei online überprüfen möchtest dann hier
http://virusscan.jotti.org/de

mache bitte ein neue scan HJT und poste das logfile hier
lade dir vorsichtshalber lsp fix
http://www.cexx.org/lspfix.htm
erst danach kannst du dein
C:Windows Msrstrt.exe
löschen
es kann sein dass du danach keine Inet verbindung mehr hast weil deine winsocks beschädigt sind.
Lsp fix repariert diese winsocks
es kann auch sein dass nix passiert, und diese datei harmlos ist
chaosman

ok danke chaosman werd ich machen wenn ich aussen urlaub wieder da bin *g*

hallo alle
ich habe keinen der beiden einträge in HijackThis aber einen ähnlichen(extra button) mit flashget am ende. ich lösch den mal bevor ich die datei lösche. nb: _msrstrt.exe (ganz am anfang nach den ordnern. nicht unter m suchen
wenn ihr ein textfile schreibt mit namen msrstrt dann wird das automatisch ein exe-file....
das folgende wurde gemeldet nach der onlineuntersuchung bei
http://virusscan.jotti.org/de
-
_MSRSTRT.EXE
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
-
wie kann ich dateien nach datum auflisten?dann kann ich evtl. das progi eruieren und eliminieren.

@ europanorama,

sende bitte diese Datei

_MSRSTRT.EXE

passwortgeschützt (mit Angabe des Passworts in der Mail) an partytime-germany.ice@web.de und virus@hijackthis.de,
mit Hinweis auf diesen Thread - zu Forschungszwecken.

Erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

Zitat:

wie kann ich dateien nach datum auflisten?dann kann ich evtl. das progi eruieren und eliminieren.

Ich verstehe die Frage nicht.

SD