Lösche diese Ordner im abgesicherten Modus:

C:\Program Files\Windows SyncroAd
C:\Programme\Web_Rebates


Fixe mit HijackThis dies:

O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows
SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O8 - Extra context menu item: Web Rebates -
file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
hxxp://public.windupdates.com/get_f...aa2edc6fc4885a4

Anschließend lasse nochmal mit eScan scannen.

soll ich bei irgendeinem von diesen vorgängen die systemwiederherstellung deaktivieren?

Ja wunderbar. So wie's aussieht sind alle weg.

Vielen Dank.
Wie kommt es, dass man als Normalsterblicher solche Dinge weiß? Ist das ein Hobby oder beschäftigt ihr euch beruflich damit?

Auf jeden fall nocheinmal vielen Dank!

Hallo Feister-Mann,

Systemwiederherstellung: man deaktiviert die Systemwiederherstellung um Malware zu löschen, bzw. Einträge zu fixen. Und wenn man damit fertig ist, aktiviert man die Systemwiederherstellung wieder.

Zitat:

3.) danach wollte ich die Programme "Winad.exe" und "WinClt.exe" mit dem Taskmanager beenden. Allerdings musste ich feststellen, dass diese entweder zur Zeit nicht liefen oder das sie bei mir nicht vorhanden sind.

Versuch's mal damit: "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren" [Zitat Cidre]

Ein bißchen Lektüre:

- IE sicher konfigurieren: www.datenschutzzentrum.de.
- Vorbeugende Maßnahmen: www.trojaner-info.de
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- www.mathematik.uni-marburg.de
- faq.underflow.de

SD

@D7G
bitte eröffne einen neuen Thread. Wenn du das machst, kannst du deinen Post hier löschen.

hm
ich bins mal wieder... sehr glorreich mit nem neuen alten trojaner!

es erscheint die warnung:
C:\TEMP\MSBB.EXE

Ist das Trojanische Pferd TR/LowZones.A.2


hier ist meien HijackThis log:

Logfile of HijackThis v1.99.0
Scan saved at 11:17:33, on 05.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Mixer.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Psion\PsiWin\Psconsv.exe
C:\Programme\FaJo\Timetool\TimeTool.exe
C:\PROGRA~1\Psion\PsiWin\Elogerr.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\DeskAd Service\DeskAdServ.exe
C:\Program Files\DeskAd Service\DeskAdKeep.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Philipp\Desktop\hijackthis199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Zeiterfassung.lnk = C:\Programme\FaJo\Timetool\TimeTool.exe
O4 - Global Startup: PsiWin 2.3 Verbindungsserver.lnk = C:\Programme\Psion\PsiWin\Psconsv.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - hxxp://static.windupdates.com/cab/DownloadsUnlimited/ie/bridge-c283.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - hxxp://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - hxxp://asp04.photoprintit.de/microsite/1773/defaults/activex/ImageUploader3.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - hxxp://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kodak Camera Connection Software - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)



würde mich freuen wenn mir jemand weiterhelfen könnte.

MFG
Feister-Mann

@Feister-Mann
lade dir clearprog bei clearporg.de
programm starten, alle häkchen bei IE und windows setzen, löschen.
diese dateien
hier online
überprüfen lassen
C:\Program Files\DeskAd Service\DeskAdServ.exe
C:\Program Files\DeskAd Service\DeskAdKeep.exe
poste das ergebnis
wechsle in den abgesicherten modus und fixe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/D...bridge-c283.cab
neu booten ein neues HJT logfile hier posten und die ergebnisse von jotti.org
chaosman

äh ja,... da fängts bei mir schon an:
clearporg.de? gemeint ist doch www.clearporg.de oder? aber die url gibts nicht...

@Feister-Mann
clearprog
sry ein verdreher
chaosman

@chaosman keine ursache thx auf jedenfall erstmal...


hier die scans

Service load: 0% 100%

File: DeskAdServ.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: Analyzing...

AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.45 seconds taken)
ClamAV No viruses found (0.37 seconds taken)
Dr.Web No viruses found (0.54 seconds taken)
F-Prot Antivirus No viruses found (0.08 seconds taken)
Kaspersky Anti-Virus No viruses found (0.66 seconds taken)
mks_vir .Deskad.J04 (0.21 seconds taken)
NOD32 No viruses found (0.46 seconds taken)
Norman Virus Control Scanning, please wait...

Statistics
Last piece of malware found was TrojanDownloader.JS.gen in Virs.rar, detected by:

Scanner Malware name Time taken
AntiVir X 0.15 seconds
Avast X 1.51 seconds
BitDefender Trojan.Downloader.Small.VL 0.60 seconds
ClamAV X 0.37 seconds
Dr.Web Trojan.DownLoader.588 0.58 seconds
F-Prot Antivirus X 0.06 seconds
Kaspersky Anti-Virus TrojanDownloader.JS.gen 0.80 seconds
mks_vir X 0.30 seconds
NOD32 X 0.42 seconds
Norman Virus Control X 0.12 seconds



Service statistics:

4857 files (3600 of those unique) have been uploaded & scanned since 31/12/2004, the day of the last database purge.
1081 of those 3600 files contained a virus or any other form of malware.
This page has been visited 9481 times in this time period.
This service managed to spot 74 pieces of malware no vendor used knew about at the time of uploading.
The service also warned against 541 suspicious files without any help from scanner results.
However, 12 files reported to be OK were found out to be malware later (this is checked daily).
As far as can be told, all this together makes this service 99.67% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism.

No I am not sitting still! For those of you interested, a new, better version of this service is being developed. Click here for a sneak peek. It is not finished. It has bugs. Please use it for testing purposes ONLY.
If you have suggestions and/or comments, please send me them!
Most popular malware:

Rank Malware name Uploaded Last known filename
1 backdoor.rbot.gen 94 times mdm.exe
2 backdoor.agobot.3.gen 42 times gobot3.exe
3 win32:trojan-gen. {other} 35 times dtSystemMonitor.ocx
4 trojan.spy.agent.y 22 times ygggygt.exe
5 .admili 19 times AdmilliKeep.exe
6 behaveslike:win32.explorerhijack 18 times f201.exe
7 behaveslike:trojan.downloader 16 times downloader.exe
8 trojan.unremote.a 16 times RuNz.HpRot.zip
9 backdoor.win32.rbot.gen 16 times b0t.exe
10 trojan.swizzor 14 times Type_Less.exe
11 backdoor.sdbot.gen 13 times CCSEVRT.exe
12 trojan.bifrose-4 11 times new2.exe
13 bds/nocun 11 times DANGEROUS___.EXE
14 exploit.dcom-rpc.a 11 times wuaruclt.exe
15 win32.hllw.mybot.based 11 times unpacked2-encpted.exe




und heir nr.2



Service load: 0% 100%

File: DeskAdKeep.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected: UPX

AntiVir No viruses found (0.61 seconds taken)
Avast No viruses found (3.22 seconds taken)
BitDefender No viruses found (2.01 seconds taken)
ClamAV No viruses found (1.10 seconds taken)
Dr.Web No viruses found (1.11 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus not-a-virus:AdWare.WinAD.k (0.87 seconds taken)
mks_vir .Admili (0.21 seconds taken)
NOD32 No viruses found (0.43 seconds taken)
Norman Virus Control No viruses found (1.17 seconds taken)

Statistics
Last piece of malware found was TrojanDownloader.JS.gen in Virs.rar, detected by:

Scanner Malware name Time taken
AntiVir X 0.15 seconds
Avast X 1.51 seconds
BitDefender Trojan.Downloader.Small.VL 0.60 seconds
ClamAV X 0.37 seconds
Dr.Web Trojan.DownLoader.588 0.58 seconds
F-Prot Antivirus X 0.06 seconds
Kaspersky Anti-Virus TrojanDownloader.JS.gen 0.80 seconds
mks_vir X 0.30 seconds
NOD32 X 0.42 seconds
Norman Virus Control X 0.12 seconds



Service statistics:

4859 files (3601 of those unique) have been uploaded & scanned since 31/12/2004, the day of the last database purge.
1081 of those 3601 files contained a virus or any other form of malware.
This page has been visited 9482 times in this time period.
This service managed to spot 74 pieces of malware no vendor used knew about at the time of uploading.
The service also warned against 541 suspicious files without any help from scanner results.
However, 12 files reported to be OK were found out to be malware later (this is checked daily).
As far as can be told, all this together makes this service 99.67% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism.

No I am not sitting still! For those of you interested, a new, better version of this service is being developed. Click here for a sneak peek. It is not finished. It has bugs. Please use it for testing purposes ONLY.
If you have suggestions and/or comments, please send me them!
Most popular malware:

Rank Malware name Uploaded Last known filename
1 backdoor.rbot.gen 94 times mdm.exe
2 backdoor.agobot.3.gen 42 times gobot3.exe
3 win32:trojan-gen. {other} 35 times dtSystemMonitor.ocx
4 trojan.spy.agent.y 22 times ygggygt.exe
5 .admili 19 times AdmilliKeep.exe
6 behaveslike:win32.explorerhijack 18 times f201.exe
7 behaveslike:trojan.downloader 16 times downloader.exe
8 trojan.unremote.a 16 times RuNz.HpRot.zip
9 backdoor.win32.rbot.gen 16 times b0t.exe
10 trojan.swizzor 14 times Type_Less.exe
11 backdoor.sdbot.gen 13 times CCSEVRT.exe
12 trojan.bifrose-4 11 times new2.exe
13 bds/nocun 11 times DANGEROUS___.EXE
14 exploit.dcom-rpc.a 11 times wuaruclt.exe
15 win32.hllw.mybot.based 11 times unpacked2-encpted.exe



bis hierhin alles kein problem.
jetzt noch ne kleine frage... muss ich bei irgendeinem der folgenden vorgänge die systhemwiederherstellung deaktivieren und was soll ich bei jotti.org dann nochmal scannen? die beiden files deren scans in diesem post stehen?

mfg

@Feister-Mann
wechsle in den abgesicherten modus und fixe mit HJT
O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)
danach diese dateien manuell löschen
C:\Program Files\DeskAd Service\DeskAdServ.exe
C:\Program Files\DeskAd Service\DeskAdKeep.exe
danach neu booten,
und ein neues HJT logfile hier posten
chaosman

hier ist das log:


Logfile of HijackThis v1.99.0
Scan saved at 13:56:39, on 05.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Mixer.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Psion\PsiWin\Psconsv.exe
C:\Programme\FaJo\Timetool\TimeTool.exe
C:\PROGRA~1\Psion\PsiWin\Elogerr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Philipp\Eigene Dateien\stuff\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Zeiterfassung.lnk = C:\Programme\FaJo\Timetool\TimeTool.exe
O4 - Global Startup: PsiWin 2.3 Verbindungsserver.lnk = C:\Programme\Psion\PsiWin\Psconsv.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - hxxp://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - hxxp://asp04.photoprintit.de/microsite/1773/defaults/activex/ImageUploader3.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - hxxp://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kodak Camera Connection Software - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

ich kann nur empfehlen, die komplette festplatte zu formatieren. private dateien mit grosser Vorsicht sichern, das sich der trojaner überall hineinfrisst und sich überall neu schreibt. viele antivirus oder ähnliche programme erkennen ihn nicht oder der trojaner blockiert diese programme. also vorsicht ist geboten. mich hat es auch voll erwischt.