hallo zusammen!

hab mir den oben genannten trojaner eingefangen. antivir erkennt und blockt ihn. wenn ich ihn damit nun lösche ist er kurze zeit später wieder da. also steckt da wohl was in der registry nehm ich an. hab mal gegoogelt und hier so durchgeschaut aber irgendwie nichts passendes gefunden. mit diesem HJT kenne ich mich leider überhaupt nicht aus. wäre super nett wenn mir mal jemand eine für laien verständliche version posten könnte. schon mal danke im vorraus. euer board ist wirklich klasse!

Hallo rtfm,

es gibt schon einige Threads zum Thema 180 Solutions.

Aber bitte, erstelle ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html. Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch HijackThis. Wir schauen dann, ob und wie wir Dir helfen können.

danke erstmal für die schnelle hilfe. wegen den sex-seiten einträgen darf ich mich wohl bei meinem neffen bedanken.hier nun das hjt-logfile:

Logfile of HijackThis v1.99.0
Scan saved at 11:40:50, on 12.01.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\AntiVir\AVGUARD.EXE
D:\AntiVir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\SYSTEM32\GEARSEC.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\ZoneLabs\minilog.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
D:\DSL Treiber\cFos5.04\cfos\cFosDNT.exe
D:\Winamp\Winampa.exe
D:\Logitech\iTouch\iTouch.exe
C:\Program Files\Windows ServeAd\WinServAd.exe
D:\AntiVir\AVGNT.EXE
C:\Program Files\Windows ServeAd\WinServSuit.exe
D:\FreeRAM\FreeRAM XP Pro 1.40.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINNT\System32\IETie.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "D:\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OnSig] F:\eMule\OnlineSig\online.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [cFosDNT] D:\DSL Treiber\cFos5.04\cfos\cFosDNT.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\TrojanerCheck\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
O4 - HKCU\..\Run: [windll32.exe] C:\WINNT\system32\windll32.exe
O4 - HKCU\..\Run: [FreeRAM XP] "D:\FreeRAM\FreeRAM XP Pro 1.40.exe" -win
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Download with &DAP - D:\DAP5~1.3\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\DAP5~1.3\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://hitcounter.ath.cx/loud.chm::/bridge-c18.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\AntiVir\AVWUPSRV.EXE
O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\SYSTEM32\GEARSEC.EXE
O23 - Service: TrueVector Basic Logging Client - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\minilog.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: O&O Defrag 2000 - O&O Software GmbH - C:\WINNT\system32\OOD2000.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

@ rtfm

es kann sein, dass Du den W32/Spybot.worm.gen.b auf dem System hast.

Erstelle zunächst einen neuen Ordner "bases" auf der Festplatte C: (c:\bases). Lade den eScan runter und beachte die Anleitung in diesem Link sehr genau. Update den eScan online und führe ihn offline im abgesicherten Modus aus. Der eScan ab Version 4.5.1 löscht gefundene Malware nicht.

Teile uns das Ergebnis des eScan mit: öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) und gib dies mit an:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

also hier die scanergebnisse die mich sehr erschüttern:

Wed Jan 12 14:16:33 2005 => Total Files Scanned: 33736
Wed Jan 12 14:16:33 2005 => Total Virus(es) Found: 28
Wed Jan 12 14:16:33 2005 => Total Disinfected Files: 0
Wed Jan 12 14:16:33 2005 => Total Files Renamed: 0
Wed Jan 12 14:16:34 2005 => Total Deleted Files: 0
Wed Jan 12 14:16:34 2005 => Total Errors: 36
Wed Jan 12 14:16:34 2005 => Time Elapsed: 00:59:16
Wed Jan 12 14:16:34 2005 => Virus Database Date: 2005/01/12
Wed Jan 12 14:16:34 2005 => Virus Database Count: 115286

Wed Jan 12 14:16:34 2005 => Scan Completed.

File C:\PROGRA~2\WINDOW~1\WINSER~2.EXE infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.
File C:\WINNT\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken.
File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\8XMBSHY7\loud[1].chm infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\GL2NSPUN\loud[1].chm infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\SHIVK12B\loud[1].chm infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.
File C:\34FE0DA1.tmp.trojaner infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XMBSHY7\loud[1].chm infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GL2NSPUN\loud[1].chm infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SHIVK12B\loud[1].chm infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.
File C:\HJT\hijackthis.log infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\Program Files\Win Comm\WinDat.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.
File C:\Program Files\Windows ServeAd\WinAtServ.dll infected by "not-a-virus:AdWare.WinAD.i" Virus. Action Taken: No Action Taken.
File C:\Program Files\Windows ServeAd\WinServSuit.exe infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-515967899-2147031159-725345543-500\Dc1\NCASEPACKAGE.EXE.001 infected by "Trojan-Dropper.Win32.180Solutions.a" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-515967899-2147031159-725345543-500\Dc1\NCASEPACKAGE.EXE.002 infected by "Trojan-Dropper.Win32.180Solutions.a" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-515967899-2147031159-725345543-500\Dc1\NCASEPACKAGE.EXE.003 infected by "Trojan-Dropper.Win32.180Solutions.a" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-515967899-2147031159-725345543-500\Dc1\NCASEPACKAGE.EXE.VIR infected by "Trojan-Dropper.Win32.180Solutions.a" Virus. Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\load.exe infected by "TrojanDownloader.Win32.Harnig.ak" Virus. Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\WinServAdX.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.
File C:\WINNT\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\drivers\etc\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken.
File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\<Dateiname entfernt>.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken.
File D:\AntiVir\INFECTED\NCASEPACKAGE.EXE.VIR infected by "Trojan-Dropper.Win32.180Solutions.a" Virus. Action Taken: No Action Taken.
File D:\<Dateiname entfernt>.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken.
File D:\<Dateiname entfernt>.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File E:\<Dateiname entfernt>.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken.

ich hoffe damit kann man was anfangen!
vielen dank im voraus für eure mühe!

@rtfm
Temporary Internet Files
Leere diese Ordner:
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temp
C:\WINDOWS\Downloaded Program Files
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temporary Internet Files
du kannst auch cleanprog bei cleanprog.de downloaden
programm starten, alle häkchen bei windows und IE setzen, löschen
diese datei auf diskette sichern, zwecks beweismittel
File D:\<Dateiname entfernt>.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
diese dateien nicht löschen
File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\<Dateiname entfernt>.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken.
File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\<Dateiname entfernt>.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken.
wechsle danach in den abgesicherten modus und lösche die andere dateien manuell, neu booten und ein neues HJT logfile hier posten
chaosman

@ rtfm

ich freue mich, dass ich ausnahmsweise einmal keine Hiobsbotschaft überbringen muss.
Der schlimmste Virus, den Du auf Deinem Rechner hast, ist zum Glück nur ein Trojaner, ohne Backdoor-Funktionalität: Troj/Qhosts1-A.

Lade das Clear Prog runter, leere damit u.a. die Ordner (Du kannst bei "Clear all" das Häkchen setzen und dann auf "Clear" klicken):

File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5
File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5
File C:\RECYCLER
File D:\AntiVir\INFECTED

--> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

diese Malware-Einträge bitte manuell löschen:

--> Boote dazu in den VGA Modus. Dateien markieren/kopieren, in die Windows Suche übertragen -> löschen:

C:\PROGRA~2\WINDOW~1\WINSER~2.EXE
C:\WINNT\hosts
C:\34FE0DA1.tmp.trojaner
C:\HJT\hijackthis.log
C:\Program Files\Win Comm\WinDat.dll
C:\Program Files\Windows ServeAd\WinAtServ.dll
C:\Program Files\Windows ServeAd\WinServSuit.exe
C:\WINNT\Downloaded Program Files\load.exe
C:\WINNT\Downloaded Program Files\WinServAdX.dll
C:\WINNT\system32\drivers\etc\hosts

Je nach Art der Verbindung, mit der Du ins Netz gehst, solltest Du diese Datei vor dem Löschen auf Diskette sichern (Dialer-Hinweis):

D:\<Dateiname entfernt>.exe

Nach dem löschen in den normalen Modus booten.

Erstelle ein neues Hijack This Logfile und poste es.

[edit] @ Chaosman [/edit]

danke schön für die antworten. hier das logfile und noch ein paar kleiner sachen unten dran... :

Logfile of HijackThis v1.99.0
Scan saved at 19:25:54, on 12.01.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\AntiVir\AVGUARD.EXE
D:\AntiVir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\SYSTEM32\GEARSEC.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\OOD2000.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\ZoneLabs\minilog.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
D:\DSL Treiber\cFos5.04\cfos\cFosDNT.exe
D:\Winamp\Winampa.exe
D:\TrojanerCheck\Trojancheck 6\tcguard.exe
D:\Logitech\iTouch\iTouch.exe
D:\AntiVir\AVGNT.EXE
C:\Program Files\Windows ServeAd\WinServAd.exe
D:\FreeRAM\FreeRAM XP Pro 1.40.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "D:\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [cFosDNT] D:\DSL Treiber\cFos5.04\cfos\cFosDNT.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\TrojanerCheck\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
O4 - HKCU\..\Run: [FreeRAM XP] "D:\FreeRAM\FreeRAM XP Pro 1.40.exe" -win
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Download with &DAP - D:\DAP5~1.3\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\DAP5~1.3\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://hitcounter.ath.cx/loud.chm::/bridge-c18.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\AntiVir\AVWUPSRV.EXE
O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\SYSTEM32\GEARSEC.EXE
O23 - Service: TrueVector Basic Logging Client - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\minilog.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: O&O Defrag 2000 - O&O Software GmbH - C:\WINNT\system32\OOD2000.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

--------------

in C:\Program Files befindet sich noch ein ordner mit namen "Windows ServeAd"
dieser enthält noch eine "info.txt" und eine "WinServAd.exe"

C:\WINNT\Downloaded Program Files\load.exe konnte ich nicht finden. nur diese 2 hier:

C:\WINNT\system32\dllcache\mwcload.exe
C:\WINNT\system32\Macromed\Shockwave 8\Download.exe

C:\PROGRA~2\WINDOW~1\WINSER~2.EXE finde ich auch nirgends.

bitte sagt mir wie ich den rest auch noch loswerde.
vielen dank schonmal im vorraus!

@rtfm
in C:\Program Files befindet sich noch ein ordner mit namen "Windows ServeAd"
dieser enthält noch eine "info.txt" und eine "WinServAd.exe"
in abgesicherten modus manuell löschen


Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK

danach noch mal die dateien suchen
chaosman

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK

hab ich getan. er fand es trotzdem nicht!

also ich weiss wo der ordner liegt. die frage ist nur ob ich ihn auch löschen soll/muß?

was ist mit den anderen unten aufgeführten dateien?
sieht das logfile nun zufriedenstellender aus?

@rtfm
wechsle in den abgesicherten modus und fixe mit HJT

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=96676
O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
O8 - Extra context menu item: &Download with &DAP - D:\DAP5~1.3\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\DAP5~1.3\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)
diese dateien manuell löschen
C:\Program Files\Windows ServeAd\WinServAd.exe
D:\DAP5~1.3\dapextie2.htm
D:\DAP5~1.3\dapextie.htm
der DAP download manager löschen, er holt dir spyware auf dem rechner
nimm lieber den LeechGet
C:\Program Files\Windows ServeAd\WinServAd.exe komplette ordner
neu booten, poste danach ein neues HJT logfile
chaosman

so, hier ist nun mein aktuelles HJT-logfile:

Logfile of HijackThis v1.99.0
Scan saved at 20:49:51, on 12.01.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\AntiVir\AVGUARD.EXE
D:\AntiVir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\SYSTEM32\GEARSEC.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\OOD2000.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\ZoneLabs\minilog.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
D:\DSL Treiber\cFos5.04\cfos\cFosDNT.exe
D:\Winamp\Winampa.exe
D:\TrojanerCheck\Trojancheck 6\tcguard.exe
D:\Logitech\iTouch\iTouch.exe
D:\AntiVir\AVGNT.EXE
D:\FreeRAM\FreeRAM XP Pro 1.40.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "D:\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [cFosDNT] D:\DSL Treiber\cFos5.04\cfos\cFosDNT.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\TrojanerCheck\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [FreeRAM XP] "D:\FreeRAM\FreeRAM XP Pro 1.40.exe" -win
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://hitcounter.ath.cx/loud.chm::/bridge-c18.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\AntiVir\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\SYSTEM32\GEARSEC.EXE
O23 - Service: TrueVector Basic Logging Client - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\minilog.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: O&O Defrag 2000 - O&O Software GmbH - C:\WINNT\system32\OOD2000.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

Zitat:

C:\WINNT\Downloaded Program Files\load.exe konnte ich nicht finden. nur diese 2 hier:

C:\WINNT\system32\dllcache\mwcload.exe
C:\WINNT\system32\Macromed\Shockwave 8\Download.exe

C:\PROGRA~2\WINDOW~1\WINSER~2.EXE finde ich auch nirgends. trotz: "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

bitte sagt mir wie ich den rest auch noch loswerde.
vielen dank schonmal im vorraus!

sagt mir bitte noch etwas hierzu und zu dem letzten logfile, bitte. danke!

ich denke da kann ich dir weiterhelfen. es ist nicht der ordner progra~2 (nur abgekürzt) sondern program files. und da ist dann lass mich raten ein ordner namens windowsservead oder? den musst du löschen.

ok, wenn es der war dann hab ich den gelöscht im abgesicherten modus

bleibt nur die frage nach dem aktuellen hjt-log