Trojaner Probleme

punisher · 05.04.2006, 18:36

Hallo,
ich habe mich die ganze Zeit auf mein Norton Antivirus verlassen, und mich nie besonders um Trojaner gekümmert.
Nun wurde kürzlich der Trojaner BYTE VERIFY festgestellt und gelöscht.

Nach jedem Kaltstart möchte nun mein Congster eine Internetverbindung aufbauen, sobald dies geschehen ist, findet NAV einen Angriff durch einen Dialer, scannt und löscht diesen...
Die Datei des Downloads dabei nennt sich XXX[1].WMF

Die gescannte (verseuchte) Datei kann ich vorher nirgends finden!

Vielleicht könnt Ihr mir helfen, anbei der logfile von Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 19:17:28, on 05.04.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Generic\USB Card Reader Driver v2.2f\Disk_Monitor.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
D:\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Razer\Copperhead\razerhid.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Razer\Copperhead\razertra.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Dokumente und Einstellungen\nik\Desktop\Hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von surfEU
O2 - BHO: IEHlprObj Class - {02B42716-AB14-4E82-B2CE-E42EF1826206} - C:\WINDOWS\system32\moz030715s.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: TChkBHO Class - {F98518FF-ADE0-4C9F-8334-CC778C3F0251} - C:\WINDOWS\system32\iohio.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [InstantAccess] C:\Programme\ScannerU\TBRIDGE\BIN\InstantAccess.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\Programme\ScannerU\TBRIDGE\BIN\RegisterDropHandler.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader Driver v2.2f\Disk_Monitor.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\private.exe internat.dll,LoadMouseCarpetProfile
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\Programme\ScannerU\TBRIDGE\BIN\RegisterDropHandler.EXE
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Desweiteren beschwert sich mein Rechner seit geraumer Zeit beim Runterfahren über das "Programm" CCAP.exe - Auch ein Trojaner?

Vielen Dank im voraus für die Hilfe.

Gruß

stupormundi · 06.04.2006, 05:19

Servus!

Mich wundert bei der von Dir hier vorgestellten Konfiguration, dass Dein System nicht mehr verseucht ist. Du verlässt dich (blind) auf Norton und Dein Betriebssystem ist nahezu jungfräulich. Hast Du noch nie etwas von Updates (Stichwort Servicepack 2, Sicherheitspatches ...) gehört?

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

stupormundi · 06.04.2006, 05:37

Servus!

Mich wundert bei der von Dir hier vorgestellten Konfiguration, dass Dein System nicht mehr verseucht ist. Du verlässt dich (blind) auf Norton und Dein Betriebssystem ist nahezu jungfräulich. Hast Du noch nie etwas von Updates (Stichwort Servicepack 2, Sicherheitspatches ...) gehört?

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Zum Problem mit der "ccapp" (ist ebenfalls ein Symantec-Norton Prozess) lies mal zB hier nach-ist ein bekanntes Problem.

Hol Dir diese Tools: clearprog 1.4.1 final und killbox und wechsle in den abgesicherten Modus.
Öffne zuerst HJT, lass einen Scan laufen und fixe folgende Einträge

Zitat:

O2 - BHO: IEHlprObj Class - {02B42716-AB14-4E82-B2CE-E42EF1826206} - C:\WINDOWS\system32\moz030715s.dll (file missing)
...
O2 - BHO: TChkBHO Class - {F98518FF-ADE0-4C9F-8334-CC778C3F0251} - C:\WINDOWS\system32\iohio.dll (file missing)
...
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\private.exe internat.dll,LoadMouseCarpetProfile

Die Datei 'C:\WINDOWS\System32\private.exe' anschließend im angesicherten Modus löschen.

Dann mit clearprog und der Funktion 'clear all/alles löschen' den Ballast (Temporärdateien) löschen.
Neu booten und die vier Logs der datfind.bat hier posten (die Dateien der letzten 2-3 Monate genügen).
Und anschließend Dein System mit dem Servicepack 2 plus Sicherheitsupdates ausstatten.
Und danach ein neues HJT Log hier posten.
stupormundi

punisher · 07.04.2006, 20:15

Hi Stupormundi,
vielen Dank für Deine Hilfe.
Habe bis auf das Update alles erledigt.
Anbei die Liste der Datfind.bat:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: A44C-B2DB

Verzeichnis von C:\WINDOWS\system32

07.04.2006 20:30 410.840 FNTCACHE.DAT
07.04.2006 20:27 43.573 nvapps.xml
07.04.2006 20:17 206 07.tmp
07.04.2006 20:05 1.136 wpa.dbl
30.03.2006 21:06 100 LuResult.txt
29.03.2006 01:11 0 r.exe
29.03.2006 01:10 0 sp.exe
29.03.2006 01:10 0 di.exe
26.03.2006 11:06 37.760 perfc009.dat
26.03.2006 11:06 305.318 perfh009.dat
26.03.2006 11:06 309.810 perfh007.dat
26.03.2006 11:06 45.672 perfc007.dat
26.03.2006 11:06 705.292 PerfStringBackup.INI
15.02.2006 17:26 161.472 SymRedir.dll
15.02.2006 17:26 534.208 SymNeti.dll
14.02.2006 12:05 87.808 S32EVNT1.DLL
01.02.2006 20:47 36.864 ImageDrive.cpl
10.12.2005 05:16 180.224 NVUNINST.EXE
10.12.2005 04:06 86.016 nvmctray.dll
10.12.2005 04:06 286.720 nvnt4cpl.dll
10.12.2005 04:06 5.402.624 nvoglnt.dll
10.12.2005 04:06 319.488 nvrsar.dll
10.12.2005 04:06 241.664 nvrscs.dll
10.12.2005 04:06 245.760 nvrsda.dll
10.12.2005 04:06 274.432 nvrsel.dll
10.12.2005 04:06 241.664 nvrseng.dll
10.12.2005 04:06 274.432 nvrses.dll
10.12.2005 04:06 266.240 nvrsesm.dll
10.12.2005 04:06 241.664 nvrsfi.dll
10.12.2005 04:06 278.528 nvrsfr.dll
10.12.2005 04:06 319.488 nvrshe.dll
10.12.2005 04:06 253.952 nvrshu.dll
10.12.2005 04:06 274.432 nvrsit.dll
10.12.2005 04:06 258.048 nvrsja.dll
10.12.2005 04:06 253.952 nvrsko.dll
10.12.2005 04:06 266.240 nvrsnl.dll
10.12.2005 04:06 249.856 nvrsno.dll
10.12.2005 04:06 249.856 nvrspl.dll
10.12.2005 04:06 266.240 nvrspt.dll
10.12.2005 04:06 262.144 nvrsptb.dll
10.12.2005 04:06 262.144 nvrsru.dll
10.12.2005 04:06 249.856 nvrssk.dll
10.12.2005 04:06 249.856 nvrssl.dll
10.12.2005 04:06 229.376 nvmccs.dll
10.12.2005 04:06 249.856 nvrstr.dll
10.12.2005 04:06 217.088 nvrszhc.dll
10.12.2005 04:06 118.784 nvrszht.dll
10.12.2005 04:06 16.356 nvdisp.nvu
10.12.2005 04:06 131.139 nvsvc32.exe
10.12.2005 04:06 73.728 nvtuicpl.cpl
10.12.2005 04:06 180.224 nvudisp.exe
10.12.2005 04:06 45.056 nvmccsrs.dll
10.12.2005 04:06 81.920 nvwddi.dll
10.12.2005 04:06 1.662.976 nvwdmcpl.dll
10.12.2005 04:06 1.019.904 nvwimg.dll
10.12.2005 04:06 282.624 nvwrsar.dll
10.12.2005 04:06 286.720 nvwrscs.dll
10.12.2005 04:06 294.912 nvwrsda.dll
10.12.2005 04:06 311.296 nvwrsde.dll
10.12.2005 04:06 335.872 nvwrsel.dll
10.12.2005 04:06 1.466.368 nview.dll
10.12.2005 04:06 573.440 nvhwvid.dll
10.12.2005 04:06 286.720 nvwrseng.dll
10.12.2005 04:06 7.311.360 nvcpl.dll
10.12.2005 04:06 335.872 nvwrses.dll
10.12.2005 04:06 327.680 nvwrsesm.dll
10.12.2005 04:06 147.456 nvcolor.exe
10.12.2005 04:06 303.104 nvwrsfi.dll
10.12.2005 04:06 327.680 nvwrsfr.dll
10.12.2005 04:06 278.528 nvwrshe.dll
10.12.2005 04:06 35.840 nvcodins.dll
10.12.2005 04:06 315.392 nvwrshu.dll
10.12.2005 04:06 323.584 nvwrsit.dll
10.12.2005 04:06 245.760 nvrssv.dll
10.12.2005 04:06 212.992 nvwrsja.dll
10.12.2005 04:06 196.608 nvwrsko.dll
10.12.2005 04:06 319.488 nvwrsnl.dll
10.12.2005 04:06 299.008 nvwrsno.dll
10.12.2005 04:06 35.840 nvcod.dll
10.12.2005 04:06 294.912 nvwrspl.dll
10.12.2005 04:06 323.584 nvwrspt.dll
10.12.2005 04:06 319.488 nvwrsptb.dll
10.12.2005 04:06 1.339.392 nvdspsch.exe
10.12.2005 04:06 315.392 nvwrsru.dll
10.12.2005 04:06 299.008 nvwrssk.dll
10.12.2005 04:06 303.104 nvwrssl.dll
10.12.2005 04:06 294.912 nvwrssv.dll
10.12.2005 04:06 303.104 nvwrstr.dll
10.12.2005 04:06 163.840 nvwrszhc.dll
10.12.2005 04:06 167.936 nvwrszht.dll
10.12.2005 04:06 1.519.616 nwiz.exe
10.12.2005 04:06 442.368 nvappbar.exe
10.12.2005 04:06 110.592 nvapi.dll
10.12.2005 04:06 3.955.456 nv4_disp.dll
10.12.2005 04:06 466.944 nvshell.dll
10.12.2005 04:06 270.336 nvrsde.dll
10.12.2005 04:06 425.984 keystone.exe
17.10.2005 21:58 65.536 QuickTimeVR.qtx
17.10.2005 21:57 49.152 QuickTime.qts
22.09.2005 18:23 466.944 capicom.dll
14.09.2005 09:22 49.664 DAAPI.dll
06.09.2005 10:25 126.976 NclAPI.dll
06.09.2005 10:20 202.240 ConnAPI.dll
29.08.2005 09:36 26.624 NclTools.dll
09.08.2005 15:08 53.040 nmwcdcls.dll
09.08.2005 15:08 4.960 nmwcdlog.dll
22.07.2005 16:01 69.632 razer.cpl
31.05.2005 11:20 79.432 GEARAspi.dll
03.05.2005 12:58 78.848 msiexec.exe
03.05.2005 12:58 271.360 msihnd.dll
03.05.2005 12:58 15.360 msisip.dll
03.05.2005 12:58 884.736 msimsg.dll
03.05.2005 12:58 2.890.240 msi.dll
03.05.2005 12:58 15.072 spmsg.dll

Die 3 .exe vom 29.03.2006 habe ich gelöscht.
An diesem Datum habe ich mir etwas eingefangen.

Nach dem Windows Update komme ich wieder mit einem neuen HJT Log.
Vielen Dank erstmal.

punisher · 07.04.2006, 23:32

Hi nochmal,
anbei das finale (hoffentlich) HJT Log:

Logfile of HijackThis v1.99.1
Scan saved at 00:30:27, on 08.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Generic\USB Card Reader Driver v2.2f\Disk_Monitor.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
D:\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Razer\Copperhead\razerhid.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Razer\Copperhead\razertra.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\nik\Desktop\Trojan_attack\Hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von surfEU
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader Driver v2.2f\Disk_Monitor.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144437343028
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144437320450
O17 - HKLM\System\CCS\Services\Tcpip\..\{5333A416-D642-4500-AFAD-B2E92F526962}: NameServer = 217.237.149.225 217.237.151.97
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Bitte um kurze Rückmeldung. Danke im Voraus.
Punisher.

irrlicht · 08.04.2006, 10:47

Hallo punisher,

Zitat:

die vier Logs der datfind.bat

Fällt dir was auf ?
Wieviel Log`s hast du vorgezeigt davon ?
Irrlicht

punisher · 08.04.2006, 19:06

zweitens:
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: A44C-B2DB

Verzeichnis von C:\DOKUME~1\n**\LOKALE~1\Temp

08.04.2006 20:02 797.676 IMT33.xml
08.04.2006 20:02 426 IMT32.xml
08.04.2006 20:02 2.036 IMT31.xml
08.04.2006 10:24 920.068 tmp.xpi
07.04.2006 20:50 16.384 ~DFC07D.tmp
07.04.2006 20:49 16.384 ~DFB234.tmp
07.04.2006 20:44 16.384 ~DFA1D3.tmp
07.04.2006 20:44 16.384 ~DF8CC0.tmp
07.04.2006 20:44 16.384 ~DF8201.tmp
07.04.2006 20:41 16.384 ~DF7464.tmp
07.04.2006 20:31 16.384 ~DFF9D6.tmp
05.10.2000 19:05 165.888 set3C.tmp
14.05.2000 20:23 41.472 Set3D.tmp
13 Datei(en) 2.042.254 Bytes
0 Verzeichnis(se), 6.809.985.024 Bytes frei
drittens:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: A44C-B2DB

Verzeichnis von C:\WINDOWS

08.04.2006 19:15 834.813 WindowsUpdate.log
08.04.2006 19:13 0 0.log
08.04.2006 19:13 159 wiadebug.log
08.04.2006 19:12 50 wiaservc.log
08.04.2006 19:11 2.048 bootstat.dat
08.04.2006 10:37 32.552 SchedLgU.Txt
08.04.2006 10:25 10.366 mozver.dat
08.04.2006 10:13 107.132 UninstallFirefox.exe
08.04.2006 00:26 30.079 spupdsvc.log
08.04.2006 00:20 176.868 comsetup.log
08.04.2006 00:20 84.624 iis6.log
08.04.2006 00:20 106.717 ntdtcsetup.log
08.04.2006 00:20 211.538 tsoc.log
08.04.2006 00:20 23.344 ocmsn.log
08.04.2006 00:20 1.355 imsins.log
08.04.2006 00:20 28.102 KB913446.log
08.04.2006 00:20 235.164 ocgen.log
08.04.2006 00:20 25.414 msgsocm.log
08.04.2006 00:20 498.681 FaxSetup.log
08.04.2006 00:20 860.220 setupapi.log
08.04.2006 00:20 1.355 imsins.BAK
08.04.2006 00:20 29.845 KB911564.log
08.04.2006 00:20 118.122 wmsetup.log
08.04.2006 00:19 30.081 KB911565.log
08.04.2006 00:18 40.366 KB911927.log
08.04.2006 00:18 17.128 updspapi.log
08.04.2006 00:18 39.255 KB912919.log
08.04.2006 00:18 37.171 KB908519.log
08.04.2006 00:18 36.870 KB905915.log
08.04.2006 00:18 34.197 KB904706.log
08.04.2006 00:17 23.893 KB910437.log
08.04.2006 00:17 30.585 KB896424.log
08.04.2006 00:17 29.984 KB900725.log
08.04.2006 00:17 32.321 KB905749.log
08.04.2006 00:17 27.333 KB905414.log
08.04.2006 00:17 27.403 KB901017.log
08.04.2006 00:16 30.803 KB902400.log
08.04.2006 00:16 19.146 KB894391.log
08.04.2006 00:16 22.782 KB896423.log
08.04.2006 00:16 19.590 KB899587.log
08.04.2006 00:16 19.083 KB899591.log
08.04.2006 00:15 19.200 KB893756.log
08.04.2006 00:15 18.276 KB896358.log
08.04.2006 00:15 22.779 KB890859.log
08.04.2006 00:15 16.215 KB901214.log
08.04.2006 00:15 5.749 KB898458.log
08.04.2006 00:14 14.374 KB896428.log
08.04.2006 00:14 15.595 KB896422.log
08.04.2006 00:14 15.973 KB890046.log
08.04.2006 00:14 14.999 KB885250.log
08.04.2006 00:14 14.969 KB885835.log
08.04.2006 00:14 14.224 KB887742.log
08.04.2006 00:14 13.581 KB888113.log
08.04.2006 00:13 13.557 KB891781.log
08.04.2006 00:13 13.720 KB887472.log
08.04.2006 00:13 12.971 KB888302.log
08.04.2006 00:13 12.483 KB885836.log
08.04.2006 00:13 8.348 KB886185.log
08.04.2006 00:13 12.481 KB873339.log
08.04.2006 00:02 7.854 WGA.log
08.04.2006 00:01 6.839 KB898461.log
07.04.2006 23:55 731 DtcInstall.log
07.04.2006 23:54 1.682 OEWABLog.txt
07.04.2006 23:54 316.640 WMSysPr9.prx
07.04.2006 23:52 1.122.688 setuplog.txt
07.04.2006 23:07 434.848 svcpack.log
07.04.2006 23:03 200 cmsetacl.log
07.04.2006 23:02 15.685 sessmgr.setup.log
07.04.2006 22:02 30.507 xpsp1hfm.log
07.04.2006 22:02 34.905 KB835732.log
07.04.2006 22:01 37.606 Q810833.log
07.04.2006 22:00 22.421 KB834707-IE6SP1-20040929.091901.log
07.04.2006 21:59 22.680 KB828741.log
07.04.2006 21:58 12.885 Q329834.log
07.04.2006 21:58 2.048 vminst.log
07.04.2006 21:58 26.753 KB823559.log
07.04.2006 21:56 26.328 Q817606.log
07.04.2006 21:54 25.886 Q329441.log
07.04.2006 21:53 22.668 Q810577.log
07.04.2006 21:51 19.587 Q811630.log
07.04.2006 21:50 15.905 Q329170.log
07.04.2006 21:48 1.598 Q329115.log
07.04.2006 21:48 1.237 Q329390.log
07.04.2006 21:47 961 Q323255.log
07.04.2006 21:47 653 Q329048.log
07.04.2006 21:20 6.197 KB842773.log
07.04.2006 21:20 215.779 setupact.log
07.04.2006 21:02 249.906 ntbtlog.txt
06.04.2006 07:26 43 SCNDRVU.INI
03.04.2006 19:54 1.110 winamp.ini
30.03.2006 21:23 1.452 LUINSTALL.LOG
29.03.2006 07:11 9.612 KB893803v2.log
29.03.2006 01:10 8.065 loadclean.exe
28.03.2006 07:38 1.409 QTFont.for
28.03.2006 07:38 54.156 QTFont.qfn
06.03.2006 21:38 811 CoDUO.INI
06.03.2006 21:33 1.382.538 setupapi.log.0.old
01.02.2006 20:47 593.920 UNIDRV.exe
01.02.2006 20:47 27.346 UNIDRV.cfg
31.01.2006 19:52 344.226 Directx.log
29.01.2006 01:41 46.462 Windows Update.log
29.01.2006 00:24 3.916 ModemLog_Creatix V.90 HAM Data Fax Modem.txt
15.01.2006 16:57 683 win.ini
29.12.2005 14:57 766 COD.INI
28.12.2005 01:09 276 game.ini
20.12.2005 20:54 500 GEARInstall.log
13.12.2005 22:30 58 Q321178Uninst.log
10.12.2005 00:27 314 nsw.log
17.10.2005 19:46 19 SoundConverter.INI
01.09.2005 06:58 16.856 SYMEVENT.LOG
31.07.2005 12:01 75 USBBC.ini
27.05.2005 01:22 10.752 hh.exe

viertens:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: A44C-B2DB

Verzeichnis von C:\

08.04.2006 20:05 0 sys.txt
08.04.2006 20:04 12.246 system.txt
08.04.2006 20:03 855 systemtemp.txt
08.04.2006 20:02 99.828 system32.txt
08.04.2006 19:10 1.073.274.880 hiberfil.sys
08.04.2006 19:10 1.608.515.584 pagefile.sys
07.04.2006 23:03 211 boot.ini
07.04.2006 22:52 47.564 NTDETECT.COM
07.04.2006 22:52 251.184 ntldr
14.09.2003 12:47 2.353 INSTALL.LOG
06.06.2003 07:51 1.962 TDSLCheck.txt
05.06.2003 23:08 428 TO_InstallLog.txt
07.10.2001 21:39 524.288 Perf.ETL
07.10.2001 15:20 165 IPH.PH
07.10.2001 13:47 0 MSDOS.SYS
07.10.2001 13:47 0 IO.SYS
07.10.2001 13:47 0 AUTOEXEC.BAT
18.08.2001 14:00 4.952 bootfont.bin
24.05.2001 12:59 162.304 UNWISE.EXE
10.04.2001 13:32 4.482 SHOCK.NFO
23.03.2001 00:35 245.760 SHOCK.EXE
23.03.2001 00:35 310 FILE_ID.DIZ
15.12.2000 14:31 25.488 New in FF9.html
23 Datei(en) 2.683.174.844 Bytes
0 Verzeichnis(se), 6.809.681.920 Bytes frei

hab nicht bemerkt das das programm noch weiter läuft...

Trojaner Probleme

Plagegeister aller Art und deren Bekämpfung: Trojaner Probleme