Logfile of HijackThis v1.98.2
Scan saved at 14:34:30, on 05.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system\lsvchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\BullsEye Network\bin\bargains.exe
C:\Programme\CashBack\bin\cashback.exe
C:\Programme\Opera\opera.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Opera\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: IEMenuExtension toolbar - {6b95678d-30a4-4ff8-a72f-4208340c1f7f} - C:\Programme\IEMenuExtension\tbextn.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [IE Menu Extension toolbar] rundll32.exe "C:\PROGRA~1\IEMENU~1\tbextn.dll" DllShowTB
O4 - HKLM\..\Run: [.mscdsr] C:\WINDOWS\system\lsvchost.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Start Upping] xdcc.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [Start Upping] xdcc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Start Upping] xdcc.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/29d646b3...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe


was fang ich nun damit an?

@ Doki01,

downloade das Programm eScan, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht.

Teile uns das Ergebnis des eScan mit: welche Viren (Namen) wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD

ok dann versuch ichs mal....also


Fri Nov 05 20:23:40 2004 => File C:\WINDOWS\system\lsvchost.exe infected by "TrojanProxy.Win32.Agent.bv" Virus. Action Taken: No Action Taken.

Fri Nov 05 20:24:05 2004 => File C:\WINDOWS\system\lsvchost.exe infected by "TrojanProxy.Win32.Agent.bv" Virus. Action Taken: No Action Taken.

Fri Nov 05 20:24:24 2004 => File C:\WINDOWS\system32\AA.EXE infected by "TrojanDownloader.Win32.Small.wa" Virus. Action Taken: No Action Taken.

Fri Nov 05 20:25:04 2004 => File C:\WINDOWS\system32\lassa32b.exe infected by "TrojanProxy.Win32.Agent.bv" Virus. Action Taken: No Action Taken.

Sat Nov 06 12:48:43 2004 => File C:\WINDOWS\system\lsvchost.exe infected by "TrojanProxy.Win32.Agent.bv" Virus. Action Taken: No Action Taken.

Sat Nov 06 12:49:03 2004 => File C:\WINDOWS\system32\AA.EXE infected by "TrojanDownloader.Win32.Small.wa" Virus. Action Taken: No Action Taken.

Sat Nov 06 12:49:50 2004 => File C:\WINDOWS\system32\lassa32b.exe infected by "TrojanProxy.Win32.Agent.bv" Virus. Action Taken: No Action Taken.

Sat Nov 06 12:50:59 2004 => File C:\WINDOWS\system32\tmp1.com infected by "Worm.Win32.Wilab.b" Virus. Action Taken: No Action Taken.

Sat Nov 06 12:51:17 2004 => File C:\WINDOWS\system32\wmvcore2.exe infected by "TrojanDownloader.Win32.Small.us" Virus. Action Taken: No Action Taken.

Sat Nov 06 12:51:22 2004 => File C:\WINDOWS\system32\xdcc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sat Nov 06 12:51:40 2004 => File C:\counter.cab infected by "TrojanDropper.Win32.Small.ls" Virus. Action Taken: No Action Taken.

Sat Nov 06 12:58:37 2004 => File C:\Dokumente und Einstellungen\Doki\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EXIQP8QQ\gamma[1].exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.

Sat Nov 06 13:02:06 2004 => File C:\Programme\AVPersonal\INFECTED\TFTP2180.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sat Nov 06 13:24:31 2004 => File C:\WINDOWS\Config\gamma.exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.

Sat Nov 06 13:35:56 2004 => File C:\WINDOWS\system\lsvchost.exe infected by "TrojanProxy.Win32.Agent.bv" Virus. Action Taken: No Action Taken.

Sat Nov 06 13:35:57 2004 => File C:\WINDOWS\system32\AA.EXE infected by "TrojanDownloader.Win32.Small.wa" Virus. Action Taken: No Action Taken.

Sat Nov 06 13:38:36 2004 => File C:\WINDOWS\system32\lassa32b.exe infected by "TrojanProxy.Win32.Agent.bv" Virus. Action Taken: No Action Taken.

Sat Nov 06 13:40:12 2004 => File C:\WINDOWS\system32\tmp1.com infected by "Worm.Win32.Wilab.b" Virus. Action Taken: No Action Taken.

Sat Nov 06 13:40:40 2004 => File C:\WINDOWS\system32\wmvcore2.exe infected by "TrojanDownloader.Win32.Small.us" Virus. Action Taken: No Action Taken.

Sat Nov 06 13:40:44 2004 => File C:\WINDOWS\system32\xdcc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

so das müsstes sein. und nu?

Hallo,

auf deinem System sieht es leider gar nicht gut, daher lautet meine Empfehlung: http://www.trojaner-board.de/showpos...28&postcount=2

so schlimm? keine andere möglichkeit? ich habe nämlich keine sicherung gemacht und die daten sind sehr wichtig. bei meiner mutter isses noch schlimmer, weil sie das ähnliche problem hat und dazu noch onlinebanking macht....

Zitat:

Sat Nov 06 12:51:22 2004 => File C:\WINDOWS\system32\xdcc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Hier hat Shadowdance einen umfassenden Post zum Rbot erstellt. Da findest du u.a. auch einen Beitrag zur Datensicherung