Ich habe Probleme mit popups die regelmaessig erscheinen und mich auf meinen infzierten Rechner hinweisen - gelegentlich laden sie mich auch zum Poker ein!

bitte um Hilfe!!!

Logfile of HijackThis v1.98.2
Scan saved at 10:40:21, on 01/12/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\WINDOWS\System32\cusrvc.exe
C:\Programme\Novell\ZENworks\nalntsrv.exe
C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\WolSerNT.exe
C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\Programme\Novell\ZENworks\wm.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Novell\ZENworks\WMRUNDLL.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\NWTRAY.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Novell\ZENworks\NALDESK.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
D:\Programme\2meet.cc\Assistant.exe
D:\Programme\MPQphone\MPQphone.exe
D:\Novell\GroupWise\GrpWise.exe
D:\Novell\GroupWise\GWSync.exe
C:\Programme\Netscape\Netscape\Netscp.exe
D:\DAT\sw\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = www.google.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: 2meet.cc Assistant.lnk = D:\Programme\2meet.cc\Assistant.exe
O4 - Startup: MPQphone.lnk = D:\Programme\MPQphone\MPQphone.exe
O4 - Global Startup: Application Explorer.lnk = C:\Programme\Novell\ZENworks\NALDESK.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O9 - Extra button: Novell delivered applications - {C1994287-422F-47aa-8E5E-6323E210A125} - C:\Programme\Novell\ZENworks\AxNalServer.dll
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{620C8047-0DF9-4290-B4A3-CB5E09DEC66D}: NameServer = 192.168.100.5


Die Eintraege O15 und vielleicht auch O16 duerffen dafuer verantwortlich sein, O15 kann ich in der Registry manuell loeschen, wobei sich dadurch aberr nicht wirklich was aendert, ist auch bei jedem Reboot wieder da!

Die Startuplist hab ich angehaengt
THX in advance!

Hallo,

gleiche Vorgehensweise wie hier: http://www.trojaner-board.de/showthr...ighlight=sites

Danke fuer die prompte Antwort!

Ich hab aber die entsprechenden Eintraege die ich gemaess dem Inhalt des verwiesenen Themas loeschen sollte nicht gefunden.

Ich hab keine rpcnt4.dll, related.htm und auch keine service.exe die ich beenden koennte!

Oder taeusche ich mich?

services.exe ist doch in Ordnung, oder?

LG Aleks

Ich hab eben ein paar popups bekommen und wieder ein logfile erstellt!

Da gibt es jetzt zwei neue "Running processes"

C:\WINDOWS\System32\rsn.exe
C:\WINDOWS\System32\getdns.exe

bin mir sicher, dass die nicht in Ordnung sind, weiss aber nicht ob das mit dem "Trusted Zone"-Eintrag zusammenhaengt?

FYI: SP2 zu installieren ist nicht moeglich, da dann mein AutoCAD nicht mehr funktioniert!

bitte um Hilfe!

@ aleks,

liest Du bitte hier: O15 - Trusted Zone: h**p://*.63.219.181.7.

SD

Hallo zusammen, habe offenbar das gleiche Problem (und von Rechnern kaum Ahnung, die Kiste muß gehen, sorry).

Offen gestanden steig ich auch durch die Hinweise hier nur begrenzt durch.
Ich bin prinzipiell lernwillig könnte es mir jemand von Euch mal für wirklich Blinde erklären. Diese Po-Ups nerven und ich wäre auch auf meinen Rechner gerne wieder alleine.

Allerbesten Dank schon mal

Hagen

@ Hagen2,

bitte eröffne einen neuen eigenen Thread, --> mehr Deutlichkeit. Erstelle ein Hijack This Logfile und poste es dort dann mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

Die Anwendng von Ms4hd hat folgendes Ergebnis gebarcht:

look.log:

An Ms4Hd_look by IMM (v0.003)
Version Info: 5.1000 = Windows XP Pro SP1 (Build 2600)
The volume containing the system directory is C: ()

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd
Error: Unable to open key (Return Code was 2)

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\Files
Error: Unable to open key (Return Code was 2)

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes
Error: Unable to open key (Return Code was 2)

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys
Error: Unable to open key (Return Code was 2)

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues
Error: Unable to open key (Return Code was 2)

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
(0 subkey(s) and 6 values) last modified 03:11 30/11/2004 (UTC)
[AdaptecDirectCD] ""C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"" (SZ)
[Apoint] "C:\Programme\Apoint\Apoint.exe" (SZ)
[ATIModeChange] "Ati2mdxx.exe" (SZ)
[ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" (SZ)
[NWTRAY] "NWTRAY.EXE" (SZ)
[clfmon.exe] "clfmon.exe" (SZ)

err.log

tQuerySystemInformation (Entry at 8525B0) restored to 77F4BF08
NtEnumerateValueKey (Entry at 852430) restored to 77F4B8C8
NtEnumerateKey (Entry at 8522C0) restored to 77F4B8A8
NtQueryDirectoryFile (Entry at 852630) restored to 77F4BD48
LdrLoadDll (Entry at 852180) restored to 77F46F1B
NtResumeThread (Entry at 852090) restored to 77F4C118


Bitte um Auswertung!

Ich glaub, dass irgendwas nicht ganz richtig funktioniert hat?!?!

LG Aleks

Hallo aleks,

in der Tat ist dort etwas nicht so gelaufen, wie es sollte. Nur kann ich Dir leider im Moment nicht sagen, warum dies so ist.

Evtl. (im Moment eine Vermutung!) hast Du mehr Erfolg, wenn Du Ms4hd im abgesicherten Modus ausführst.

Wenn das zu dem gleichen Ergebnis führt, führe bitte ein Scan mit eScan im abgesicherten Modus durch (s. Signatur) und poste, was und an welchen Stellen gefunden wurde.

Danke fuer den Hinweis1

Durchfuehren von Mh4_look hat auch im VGA- und abgesicherten Modus dasselbe Ergebnis gebracht, also ...eScan

Das Durchfuehren von eScan hat die nachfolgenden Files als "infected" beschrieben. Ich hab den scan allerdings aus Zeitnot bei 23000 gescannten Dateien abgebrochen. Dabei hatte ich das Gefuehl, dass sich die gefundenen und gescannten Dateien wiederholen. Kann es sein, dass ich den eScan zu frueh abgebrochen hab, oder hoert dieser einfach nichtauf zu scannen und faengt immer vorn wieder an (v 4.6.9)? Zum Beispiel kommt die winlogon.exe in der mwa.log dreimal vor!

Fri Dec 03 16:57:24 2004 => File C:\WINDOWS\System32\netcfg.dll infected by "Trojan-Downloader.Win32.Small.abx" Virus. Action Taken: No Action Taken.
Fri Dec 03 16:57:27 2004 => File C:\WINDOWS\system32\netssh.exe infected by "Trojan-Dropper.Win32.Small.nr" Virus. Action Taken: No Action Taken.
Fri Dec 03 16:59:20 2004 => File C:\WINDOWS\System32\netcfg.dll infected by "Trojan-Downloader.Win32.Small.abx" Virus. Action Taken: No Action Taken.

Fri Dec 03 16:59:20 2004 => Scanning File C:\WINDOWS\System32\Gdigmnna.exe
Fri Dec 03 16:59:21 2004 => File C:\WINDOWS\System32\Gdigmnna.exe infected by "Backdoor.Win32.Padodor.ag" Virus. Action Taken: No Action Taken.

Fri Dec 03 16:59:21 2004 => Scanning File C:\WINDOWS\System32\qppmmia.dat
Fri Dec 03 16:59:21 2004 => Scanning File C:\WINDOWS\System32\Jalgin32.exe
Fri Dec 03 16:59:21 2004 => File C:\WINDOWS\System32\Jalgin32.exe infected by "Backdoor.Win32.Padodor.ag" Virus. Action Taken: No Action Taken.

Fri Dec 03 16:59:21 2004 => Scanning File C:\WINDOWS\System32\odbcfg32.dll
Fri Dec 03 16:59:21 2004 => File C:\WINDOWS\System32\odbcfg32.dll infected by "Trojan.Win32.Agent.r" Virus. Action Taken: No Action Taken.

Fri Dec 03 16:59:21 2004 => Scanning File C:\WINDOWS\System32\netssh.exe
Fri Dec 03 16:59:21 2004 => File C:\WINDOWS\System32\netssh.exe infected by "Trojan-Dropper.Win32.Small.nr" Virus. Action Taken: No Action Taken.

Fri Dec 03 16:59:21 2004 => Scanning File C:\WINDOWS\System32\p2pserv.dll
Fri Dec 03 16:59:21 2004 => File C:\WINDOWS\System32\p2pserv.dll infected by "Trojan.Win32.Agent.r" Virus. Action Taken: No Action Taken.

Fri Dec 03 16:59:21 2004 => Scanning File C:\WINDOWS\System32\rsn.exe
Fri Dec 03 16:59:21 2004 => File C:\WINDOWS\System32\rsn.exe infected by "Trojan-Clicker.Win32.Small.br" Virus. Action Taken: No Action Taken.

Fri Dec 03 16:59:21 2004 => Scanning File C:\WINDOWS\System32\getdns.exe
Fri Dec 03 16:59:21 2004 => File C:\WINDOWS\System32\getdns.exe infected by "Trojan-Clicker.Win32.Small.br" Virus. Action Taken: No Action Taken.

Fri Dec 03 16:59:21 2004 => Scanning File C:\WINDOWS\System32\clfmon.exe.vir
Fri Dec 03 16:59:21 2004 => File C:\WINDOWS\System32\clfmon.exe.vir infected by "Trojan.Win32.Agent.r" Virus. Action Taken: No Action Taken.
Fri Dec 03 16:59:21 2004 => File C:\WINDOWS\System32\clfmon.exe.vir1 infected by "Trojan.Win32.Agent.r" Virus. Action Taken: No Action Taken.

ab hier wiederholt sich alles. Soll ich die ganze mav.log posten oder anhaengen, hat ungefaehr 2,7MB?

LG Aleks

Hallo aleks,

Zitat:

Kann es sein, dass ich den eScan zu frueh abgebrochen hab, oder hoert dieser einfach nichtauf zu scannen und faengt immer vorn wieder an (v 4.6.9)? Zum Beispiel kommt die winlogon.exe in der mwa.log dreimal vor!

Ich kenne keine Einstellung bei eScan, die Dich in eine Endlosschleife führt.
Der Scan kann aber je nach Menge der infizierten Dateien und nach Leistungsfähigkeit des Rechners einige Stunden (!) in Anspruch nehmen. Lass eScan einmal komplett durchlaufen. Am Besten im abgesicherten Modus.

Die im letzten Post aufgeführten Dateien kannst Du auf jeden Fall alle löschen!