Hallo

wie ihr euch sicher denken könnt, bekomm ich von antivir auch diese blöde meldung....
hab mir eure ratschläge auch schon durchgelesen, aber so ganz steige ich nicht durch

ich würde mich freuen, wenn ihr mir helfen könntet!
auf jeden fall danke schon im voraus!!!

was ich bisher gemacht habe:

ich hab ein log file,
ich hab escan laufen lassen
ich weiß, dass ich gmt drauf habe.

reicht es, wenn ich gmt lösche? ich denk mal nicht...
wie bekomm ich das weg?


hab ich übrigens alles online und nicht im abgesicherten modus gemacht...

das log file hab ich vorher gemacht. wollt ihr es dennoch sehen?
oder soll ich jetzt ein neues anfertigen?

und noch was: wo kommt das ding her? oder wo könnte es herkommen? könnte es mit meinem router zu tun haben?

danke!!

Hallo bam,

1. Troj/Agent-AY ist ein Downloader Trojaner.

2. Teile uns das Ergebnis des eScan mit, wie folgt:

"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen" (Zitat Cidre)

3. Erstelle ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html

SD

Hi Leute!

Weiß nich ob ich was zur Lösung mit dem Problem mit dem BDS Agent.AY beitragen kann, aber bis vor ca. 2 Wochen erschien der bei mir auch regelmäßig durch Warnungen von Antivir . Daraufhin habich dann mal meine Festplatte durchsucht, und den SAHAgent gefunden. Nachdem ich gelesen hab, dass das Spyware wär, habich dass manuell u.a. auch in WINDOWS/system32/ gelöscht. Und seitdem habich das Problem nicht mehr gehabt.
Aber eigentlich sind das ja 2 unterschiedliche Agents!?! Bin ich so dumm und das war Zufall oder hab ich immer noch n Problem?
Hab nurnoch das Problem dass unter "Software" der Agent immernoch aufgelistet ist und ich ihn da nicht rauskrieg

Mfg Moskitoman

jetzt schonmal danke!

hier die infected files:

File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.

File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\wt\wtupdates\wtbgm\files\1.5.0.134\wtbgmtt.exe infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\wt\wtbgm\wtbgmtt.exe infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\iLookup\TTIL.exe infected by "not-a-virus:AdvWare.EZula.d" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\px\Desktop\px\riesenriemen\kalender\9307.exe infected by "not-a-virus:AdvWare.EZula.d" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll infected by "not-a-virus:AdvWare.Gain.6041" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.

File C:\Programme\WildTangent\Apps\wtKernel0100.dll infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: No Action Taken.

File C:\Programme\WildTangent\Components\SystemConfig0100.dll infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: No Action Taken.

File C:\Programme\AVPersonal\INFECTED\TOCDLSTSF.EXE.VIR infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{B968024E-09C2-4CF2-BD7E-037080A4FBEA}\RP74\A0018820.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{B968024E-09C2-4CF2-BD7E-037080A4FBEA}\RP74\A0018822.exe infected by "not-a-virus:AdvWare.EZula.d" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{B968024E-09C2-4CF2-BD7E-037080A4FBEA}\RP74\A0018823.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{B968024E-09C2-4CF2-BD7E-037080A4FBEA}\RP74\A0018824.dll infected by "not-a-virus:AdvWare.Gain.6041" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{B968024E-09C2-4CF2-BD7E-037080A4FBEA}\RP74\A0018825.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{B968024E-09C2-4CF2-BD7E-037080A4FBEA}\RP74\A0018826.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{B968024E-09C2-4CF2-BD7E-037080A4FBEA}\RP74\A0018828.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{B968024E-09C2-4CF2-BD7E-037080A4FBEA}\RP74\A0018879.exe infected by "not-a-virus:AdvWare.EZula.d" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{B968024E-09C2-4CF2-BD7E-037080A4FBEA}\RP74\A0018880.exe infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{B968024E-09C2-4CF2-BD7E-037080A4FBEA}\RP74\A0018890.exe infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{B968024E-09C2-4CF2-BD7E-037080A4FBEA}\RP74\A0018957.dll infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{B968024E-09C2-4CF2-BD7E-037080A4FBEA}\RP74\A0018958.dll infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: No Action Taken.




Logfile of HijackThis v1.98.2
Scan saved at 03:05:29, on 17.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\09nn Dialerwarner\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\WINDOWS\System32\TFNF5.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe
C:\Programme\09nn Dialerwarner\warn0190.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\WINDOWS\system32\monitorbk.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\px\Desktop\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.riesenriemen.de/
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [WG511WLU] C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe
O4 - HKLM\..\Run: [09nn Dialerwarner] C:\Programme\09nn Dialerwarner\warn0190.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [System Tray] C:\Dokumente und Einstellungen\px\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0YT4J83U\your_details.pif
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: Belkin PCMCIA WLAN Monitor.lnk = C:\WINDOWS\system32\monitorbk.exe
O4 - Global Startup: VPN Dialer (OnStartup).lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - https://www.azubi.basf-ag.de/iNotes.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/bi.../GoogleNav.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {D2296475-B79C-44A9-9B2C-32B5DC6B8B45} (PhotosCtrlDE Class) - http://de.photos.groups.yahoo.com/oc...lorer1_9de.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab


und jetzt?

zur erklärung vorab: riesenriemen ist meine homepage, also nicht auf falsche gedanken kommen
aber ihr könnt ja auch mal vorbeischauen....

shadowman,
ich habe weiter unten deine tipps gesehen.
ich denke, das ding ist bei mir über outlook reingekommen, also über die vorschau. da bekomm ich immer einladungen zu diversen seiten!
die letzte war milf.de...

muss ich die auto-vorschau wirklich ausschalten? die ist ja schon praktisch..

vielen dank auf jeden fall!!

Hallo mab...

Platform: Windows XP (WinNT 5.01.2600)/ MSIE: Internet Explorer v6.00 (6.00.2600.0000) - lade Dir bitte das aktuelle Service Pack runter und update Deinen IE: www.windowsupdate.com. ! IE und BS UNBEDINGT aktualisieren!

Scanne mit dem online-scan von Kaspersky folgende Dateien:

C:\WINDOWS\System32\TFNF5.exe
C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe
C:\WINDOWS\system32\monitorbk.exe

Teile uns das Ergebnis der Überprüfung mit und sende diese Dateien, wenn sie infiziert sind, an partytime-germany.ice@web.de, mit Verweis auf diesen Thread.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This:

O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKCU\..\Run: [System Tray] C:\Dokumente und Einstellungen\px\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0YT4J83U\your_details.pif
O4 - Global Startup: VPN Dialer (OnStartup).lnk = ?
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame
Dateien\GMT\GMT.exe
O8 - Extra context menu item: Im Cache gespeicherte Seite -
res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded
program files\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded
program files\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) -
ht*ps://www.azubi.basf-ag.de/iNotes.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl
Class) - ht*p://216.249.24.143/code/PWActiveXImgCtl.CAB

Beende folgende Prozesse:

CMESys.exe
GMT.exe

Lôsche (falls noch vorhanden):

C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

Aktiviere die Systemwiederherstellung, boote in den normalen Modus.

Der eScan hat auf Deinem System sehr viel Adware gefunden. Diese Einträge müssten eigentlich durch Spybot-Search & Destroy 1.3 entfernt werden können. Lade Dir das Programm runter, update es online, geh in den abgesicherten Modus, scanne Deinen Rechner, lass alle auftauchenden Probleme beheben.

Einträge, die nun noch vorhanden sein sollten, findest Du, wenn Du folgendermassen vorgehst: bleib im abgesicherten Modus, deaktiviere die Systemwiederherstellung: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!"

Systemwiederherstellung nach Beendigung dieser Tätigkeiten aktivieren, in den normalen Modus booten.

Lass uns wissen, ob Du's geschafft hast, alles zu löschen. Erstelle ein neues Hijack This Logfile und poste es.

SD

@ Moskitoman,

ich hab mein Fernsehrohr verlegt. Ich kann von hier aus nicht in Deinen Compi schauen. Sei so lieb und poste ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html. Dann schauen wir uns Dein System gemeinsam an.

SD

SHADOWDANCE,

hab alles wie befohlen ausgeführt.

nun der neue log:

Logfile of HijackThis v1.98.2
Scan saved at 05:21:22, on 17.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\09nn Dialerwarner\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\WINDOWS\System32\TFNF5.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe
C:\Programme\09nn Dialerwarner\warn0190.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\WINDOWS\system32\monitorbk.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\px\Desktop\hijackthis1982\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.riesenriemen.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [WG511WLU] C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe
O4 - HKLM\..\Run: [09nn Dialerwarner] C:\Programme\09nn Dialerwarner\warn0190.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: Belkin PCMCIA WLAN Monitor.lnk = C:\WINDOWS\system32\monitorbk.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097978908895
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - hxxp://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - hxxp://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {D2296475-B79C-44A9-9B2C-32B5DC6B8B45} (PhotosCtrlDE Class) - hxxp://de.photos.groups.yahoo.com/ocx/de/yexplorer1_9de.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - hxxp://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - hxxp://messenger.zone.msn.com/binary/SolitaireShowdown.cab


hat´s geklappt?
vielen dank auf jeden fall!!!

@ BAM

hast Du die Einträge online überprüft? Was ist das Ergebnis?
"C:\WINDOWS\system32\monitorbk.exe" - ist mir gänzlich unbekannt.

Konntest Du die Einträge aus dem eScan-Log mit Spybot löschen?

Einträge, die nun noch vorhanden sein sollten, findest Du, wenn Du folgendermassen vorgehst: bleib im abgesicherten Modus, deaktiviere die Systemwiederherstellung: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" Nach getaner Arbeit, Systemwiederherstellung aktivieren, in den normalen Modus booten.

Versteckte Dateien findest Du mit: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren.

Zu Deinem Logfile, kopiere es in die automatische Auswertung. Gelbe Fragezeichen weisen auf unbe/erkannte Prozesse hin. Ich denke, es ist ok.

SD

hallo shadowdance,

die online-pröfung der dateien hab ich gemacht, nix auffälliges,
auch die online überprüfung der log-file is in ordnung...

bei der suche der infizierten dateien hab ich wieder eine gefunden und gelöscht.
die datei CMESys.exe finde ich noch in windows/prefex als pf-datei.
soll die da raus?

wie lade ich denn einen neuen ie runter

ansonsten müsste alles ok sein..

danke

Hast du das was von eScan gefunden wurde, manuell gelöscht?

Den aktuellen IE bekommst du hier: http://www.microsoft.com/downloads/d...displaylang=de

Es gibt aber auch sichere Browser:
www.firefox-browser.de ist kostenlos und sicher.
www.mozilla.kairo.at
www.opera.com

hallo christian,

auch dir ein dankeschön!

die sachen, die escan fand, hab ich gelöscht.
müsste doch jetzt eig ok sein..

Hallo ihr!

Auch ich habe mir dieses backdoor program eingefangen

Hier ist mein Hjack logfile, ich hoffe ihr könnt mir helfen...

mfG Miyu

Logfile of HijackThis v1.97.7
Scan saved at 14:44:41, on 20.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\PUZZLE~1\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\PrecisionTime\PrecisionTime.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Gamers.IRC\mirc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Mozilla Firefox\firefox.exe
H:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*hxxp://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*hxxp://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*hxxp://www.yahoo.com
O2 - BHO: (no name) - {A903BF95-883E-4E70-AEC8-6C27CDC0A6B2} - C:\WINDOWS\System32\ioeeved.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\PUZZLE~1\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - hxxp://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - hxxp://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_41.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - hxxp://207.188.7.150/081283eac605de811d05/netzip/RdxIE601_de.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - hxxp://www.wow-europe.com/signup/de/wowbeta/Si.cab
O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - hxxp://eq2beta.station.sony.com/beta_reg/soesysinfo.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - hxxp://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - hxxp://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7EC77DDF-05C2-447D-92A9-DB26609CEFA5}: NameServer = 192.168.0.1

Hallo Miyu,

Logfile of HijackThis v1.97.7 ist veraltet. Verwende bitte v1.98.2: http://www.trojaner-board.de/51130-a...ijackthis.html. Erstelle damit ein neues Hijack This Logfile und poste es.

SD