@freak

Die beiden Dateien sind Spyware:
http://www.neuber.com/taskmanager/de...mesys.exe.html

Scanne doch mal dein System mit Spybot www.safer-networking.de und Ad-aware www.lavasoft.de .
Update die beiden Programme vor einem Scan.
Beide Programme sind kostenlos.



@edithsb

Du hast anscheinend dir mal einen legalen Dialer herunterladen.
Du müsstet irgendwo mal "OK" eingegeben haben.



@sycoman76

Ich würde HijackThis und eScan auf jeden Fall vor A² heranziehen.

hallo ich bin neu hier, habe auch den trojaner, habe ihn mit antivir entfernt und hier ist der log von hijackthis
Logfile of HijackThis v1.97.7
Scan saved at 11:13:10, on 03.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\WebSecureAlert\WebSecureAlert.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRAMME\WINRAR\WinRAR.exe
C:\DOKUME~1\Fabian\LOKALE~1\Temp\Rar$EX00.261\HijackThis.exe
C:\WINDOWS\explorer.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R3 - URLSearchHook: (no name) - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - (no file)
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {00041A26-7033-432C-94C7-6371DE343822} - (no file)
O2 - BHO: (no name) - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\bxxs5.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\WINDOWS\bxxs5.dll,DllRun
O4 - HKLM\..\Run: [intdctrr] C:\WINDOWS\System32\idctup20.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: ICQ 4.1.lnk = C:\Programme\ICQLite\ICQLite.exe
O4 - Startup: AntiVir (2).lnk = C:\Programme\AVPersonal\AVWIN.EXE
O4 - Startup: Verknüpfung mit Updaten.lnk = C:\Dokumente und Einstellungen\Fabian\Desktop\Updaten.exe
O4 - Startup: Verknüpfung mit TiberianWars.lnk = C:\Dokumente und Einstellungen\Fabian\Desktop\TiberianWars.exe
O4 - Startup: ICQ 4.1 (2).lnk = C:\Programme\ICQLite\ICQLite.exe
O4 - Startup: Verknüpfung mit Kill Tracker.exe.lnk = E:\Ja mods\Jk3 KILL TRACKER\Kill Tracker.exe
O4 - Startup: Verknüpfung mit Jed Academy Minimizer.exe.lnk = E:\Ja mods\jaminimizer\Jed Academy Minimizer.exe
O4 - Startup: Download Plus.lnk = C:\Dokumente und Einstellungen\Fabian\Anwendungsdaten\DownloadPlus.exe
O4 - Global Startup: WebSecureAlert.lnk = C:\Programme\WebSecureAlert\WebSecureAlert.exe
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O10 - Broken Internet access because of LSP provider 'xfire_lsp_8742.dll' missing
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab

danke im voraus

edit: vorhin habt ihr dateien angegeben, die hab ich schon gelöscht(in hi jack this)

@Trampi

Bitte benutze die aktuelle Version von HijackThis: 1.98.2

óky

Logfile of HijackThis v1.98.2
Scan saved at 18:11:11, on 03.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\WebSecureAlert\WebSecureAlert.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Dokumente und Einstellungen\Fabian\Desktop\TiberianWars.exe
E:\Ja mods\Jk3 KILL TRACKER\Kill Tracker.exe
E:\Ja mods\jaminimizer\Jed Academy Minimizer.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\The All-Seeing Eye\eye.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Fabian\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-sea...ook=stmpl1&fw=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R3 - URLSearchHook: (no name) - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - (no file)
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {00041A26-7033-432C-94C7-6371DE343822} - (no file)
O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\bxxs5.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\WINDOWS\bxxs5.dll,DllRun
O4 - HKLM\..\Run: [intdctrr] C:\WINDOWS\System32\idctup20.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: ICQ 4.1.lnk = C:\Programme\ICQLite\ICQLite.exe
O4 - Startup: AntiVir (2).lnk = C:\Programme\AVPersonal\AVWIN.EXE
O4 - Startup: Verknüpfung mit Updaten.lnk = C:\Dokumente und Einstellungen\Fabian\Desktop\Updaten.exe
O4 - Startup: Verknüpfung mit TiberianWars.lnk = C:\Dokumente und Einstellungen\Fabian\Desktop\TiberianWars.exe
O4 - Startup: ICQ 4.1 (2).lnk = C:\Programme\ICQLite\ICQLite.exe
O4 - Startup: Verknüpfung mit Kill Tracker.exe.lnk = E:\Ja mods\Jk3 KILL TRACKER\Kill Tracker.exe
O4 - Startup: Verknüpfung mit Jed Academy Minimizer.exe.lnk = E:\Ja mods\jaminimizer\Jed Academy Minimizer.exe
O4 - Startup: Download Plus.lnk = C:\Dokumente und Einstellungen\Fabian\Anwendungsdaten\DownloadPlus.exe
O4 - Global Startup: WebSecureAlert.lnk = C:\Programme\WebSecureAlert\WebSecureAlert.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'xfire_lsp_8742.dll' missing
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab

der aktuelle

Die Datei C:\WINDOWS\bxxs5.dll im abgesicherten Modus löschen!



Dies mit HijackThis fixen:

R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
http://search.search-exe.com/nph-se...look=stmpl1&fw=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R3 - URLSearchHook: (no name) - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - (no file)
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {00041A26-7033-432C-94C7-6371DE343822} - (no file)
O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\bxxs5.dll
O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\WINDOWS\bxxs5.dll,DllRun
O10 - Broken Internet access because of LSP provider 'xfire_lsp_8742.dll'
missing
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab


Unbedingt www.windowsupdate.com besuchen und alle Updates und Patches installieren.

Mach anschl. mal einen Scan mit eScan im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083

so, ich hab kaspersky drüberlaufen lassen aba, vorher NICHT bxxs5.dll gelöscht, und hab folgende (intressante) ergebnisse gesehn

Tue Oct 05 17:12:37 2004 => Total Files Scanned: 2583
Tue Oct 05 17:12:37 2004 => Total Virus(es) Found: 12
Tue Oct 05 17:12:37 2004 => Total Disinfected Files: 0
Tue Oct 05 17:12:37 2004 => Total Files Renamed: 0
Tue Oct 05 17:12:37 2004 => Total Deleted Files: 0
Tue Oct 05 17:12:37 2004 => Total Errors: 1
Tue Oct 05 17:12:37 2004 => Time Elapsed: 00:09:34
Tue Oct 05 17:12:37 2004 => Virus Database Date: 2004/10/04
Tue Oct 05 17:12:37 2004 => Virus Database Count: 105056

File C:\WINDOWS\bxxs5.dll infected by "not-a-virus:AdvWare.BookedSpace.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\H@tKeysH@@k.DLL tagged as not-a-virus:Cracker.Game.HotHook.dll. No Action Taken.
File C:\WINDOWS\System32\vvoxb410.dll infected by "not-a-virus:AdvWare.Look2Me.k" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\atd.dll infected by "not-a-virus:AdvWare.Look2Me.k" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\AcsProxy.dll infected by "not-a-virus:AdvWare.Toolbar.FWN.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\newdevin.exe infected by "not-a-virus:AdvWare.BookedSpace.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\IF01.exe infected by "not-a-virus:AdvWare.Look2Me.n" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\449166.exe infected by "not-a-virus:AdvWare.Beginto.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\winb2s32.dll infected by "not-a-virus:AdvWare.Beginto.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\reg6523.exe infected by "not-a-virus:AdvWare.Beginto.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\AwtPanel.dll infected by "not-a-virus:AdvWare.Look2Me.k" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\AxtPanel.dll infected by "not-a-virus:AdvWare.Look2Me.k" Virus. Action Taken: No Action Taken.

hjt hab ich gemacht

Hallo Trampi,

lade Dir hier Spybot-Search & Destroy 1.3 runter, update es online, deaktiviere die Systemwiederherstellung, scanne Deinen Rechner offline und lass die Probleme beheben. Aktiviere dann die Systemwiederherstellung und ...

... poste bitte ein neues Hijack This Logfile.

SD