Bitte mal überprüfen

BeneW · 09.06.2005, 18:32

hab mir den click trojaner eingefangen

ich hab mir die anderen Anleitungen schon angeschaut komme aber trotzdem nicht weiter, weil ich nicht in den windows explorer komme. der desktop springt immer zwischen normal und schwarzen hintergrund (ohne icons) hin und her. deswegen schließt sich der explorer sofort wieder.

schaut bitte mal die log file an und schickt mir hilfreiche tipps

Danke

Logfile of HijackThis v1.99.1
Scan saved at 19:00:23, on 08.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\WINDOWS\System32\MSASP32.exe
C:\WINDOWS\DitExp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\monitor.exe
C:\WINDOWS\System32\wf32vbc.exe
C:\WINDOWS\System32\MSASP32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\intmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Catia_V5_R10\intel_a\code\bin\CATSysDemon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\spool\ugplot\ugiipqd.exe
C:\Programme\EDS\License Servers\UGNXFLEXlm\lmgrd.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\EDS\License Servers\UGNXFLEXlm\uglmd.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\System32\imapi.exe
C:\DOKUME~1\ZOTZMA~1\LOKALE~1\Temp\HijackThis.exe
C:\WINDOWS\explorer.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

http://www.updatesearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

http://www.updatesearches.com/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

http://www.updatesearches.com/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

http://best-search.us/?page=search&pid=sext01
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =

http://www.updatesearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

http://www.updatesearches.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet

Explorer von T-Online
F1 - win.ini: run=fntldr.exe
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} -

C:\WINDOWS\System32\hp6820.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -

C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MegaBar - {7FDCEDCF-77C8-46ae-B0E8-D40C6D1E5158} -

C:\DOKUME~1\ZOTZMA~1\LOKALE~1\Temp\MegaTlbr.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} -

C:\WINDOWS\System32\ie2cltr.dll (file missing)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame

Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L

ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\Run: [RNBz Test] wf32vbc.exe
O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\RunServices: [Registry Checkup System326a Monitor] Winregs326a.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [Service] wN2S.exe
O4 - HKLM\..\RunServices: [Client for Microsoft Networks] msclient32.exe
O4 - HKLM\..\RunServices: [RNBz Test] wf32vbc.exe
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [monitor] monitor.exe
O4 - HKCU\..\Run: [Registry Checkup System326a Monitor] Winregs326a.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [Service] wN2S.exe
O4 - HKCU\..\Run: [Client for Microsoft Networks] msclient32.exe
O4 - HKCU\..\Run: [RNBz Test] wf32vbc.exe
O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\System32\hookdump.exe
O4 - HKCU\..\RunServices: [Service] wN2S.exe
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\TextBridge Pro

9.0\Bin\Ereg\Remind32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat

5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame

Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -

C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} -

http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d:

oo.mht!http://69.50.166.213/users/tuma/web/...m::/update.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} -

ms-its:mhtml:file://C:tsk.mht!http://69.50.188.110/4/s1//q.chm::/file.exe
O16 - DPF: {563ED66E-531B-51D2-5DB0-5080C83DA4EE} -

ms-its:mhtml:file://C:ie.mht!http://69.50.164.12/exp/mht/sext01.c...aInstaller.exe
O16 - DPF: {5DBF08EF-4BDE-11D3-B8E4-0080C84E9C66} (Medi@Show Control) -

http://www.**.de/MediaShow.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{28BB798B-A97C-4E8D-AB60-4F2E56569D22}: NameServer =

69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{733077DF-613E-4EC6-9C45-AA66B744D3FF}: NameServer =

69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{D57E5821-6AB6-49EF-B616-29469BDD3EDC}: NameServer =

69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC8591EA-0495-4558-A9F4-63B790C2D124}: NameServer =

69.50.176.156,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{28BB798B-A97C-4E8D-AB60-4F2E56569D22}: NameServer =

69.50.176.156,195.225.176.31
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} -

C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: style2 - C:\WINDOWS\q420890_disk.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} -

C:\WINDOWS\System32\vbsys2 (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH -

C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany -

C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes -

C:\Programme\Catia_V5_R10\intel_a\code\bin\CATSysDemon.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. -

C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -

C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL

SpeedManager\tsmsvc.exe
O23 - Service: Unigraphics Plot Server (ugiipqd) (ugiipqd) - Unigraphics Solutions, Inc -

C:\WINDOWS\System32\spool\ugplot\ugiipqd.exe
O23 - Service: Unigraphics License Server (uglmd) - Macrovision Corporation -

C:\Programme\EDS\License Servers\UGNXFLEXlm\lmgrd.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. -

C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. -

C:\WINDOWS\wanmpsvc.exe
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.

LG Cidre
S-Mod TB

dartus · 09.06.2005, 19:54

Hallo BeneW,

Dein System ist rettungslos verseucht!
Hier nur eine kleine Auswahl:
http://www.sophos.de/virusinfo/analyses/w32rbotabb.html
http://www.sophos.de/virusinfo/analyses/w32rbotaer.html

Bei nur einem Trojaner mit Backdoorfunktionalität wird Dir hier dringend zu Neuinstallation geraten ( in Deinem Log sind min. 7),
um das zu vermeiden:
http://www.heise.de/newsticker/meldung/57030
http://www.heise.de/newsticker/meldung/51689
http://en.wikipedia.org/wiki/Botnet
Zwecklosigkeit der Entfernung:
http://www.mathematik.uni-marburg.de...c-removal.html

Grund ist Dein ungepatchtes System!

Empfohlene Anleitung zur Neuinstallation

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

dartus

BeneW · 11.06.2005, 16:25

Danke für deine Antwort

zum glück war die Log-file nur von einem Bekannten und nicht von meinem Pc.
Er hat ihn jetzt neu aufgesetzt.

Ciao Bene

Bitte mal überprüfen

Log-Analyse und Auswertung: Bitte mal überprüfen