Trojaner-Board - Hilfe für weiblich und blond

Trojaner-Board (https://www.trojaner-board.de/)

- Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)

- - Hilfe für weiblich und blond (https://www.trojaner-board.de/7548-hilfe-weiblich-blond.html)

habe überwiegend diese Trojaner und Viren angezeigt bekommen

Backdoor.SdBot.jt
not-a-virus:AdvWare.Wesbar
not-a-virus:AdvWare.Cydoor
Trojan.Win32.Spabot.e
Backdoor Aforce.t

ich lasse diese Programm noch einmal in dem abgesicherten Modus laufen.
Was muss ich danach machen? Danke

Um ganz ehrlich zu sein, solltest du dein System neu machen, also deine Festplatte formatieren und Windows neu installieren, denn du hattest/hast Backdoorprogramme laufen, die Angreifern alle Möglichkeiten geben, deinen Rechner zu manipulieren und auch diverse Scanner können keine Garantie für ein sauberes System mehr geben. Das würde nur mit einer Neuinstallation möglich sein. Hast du denn jemand an der Hand, der dir dabei helfen könnte?

Poste auf jeden Fall nach dem Scan im abgesicherten Modus ein neues Log von HJT.

Das mit dem abg.Modus klappt nicht.Ich komme nicht ins Internet um die Seit e www.bsi.bund.de.......aufzurufen.gibt es nicht ein ordentliches Virenprogramm wo ich was löschen kann?

Probiere es mal hier:

http://www.trojaner-board.de/63335-w...s-starten.html

Du musst beim Starten des PC die Taste F8 drücken, dann kommt ein Auswahlmenü, wo du auf "Abgesicherter Modus" gehst.

OH JE , Sorry aber meine letzte Antwort war voll daneben. Ich habe es geschafft, aber es hat mir nicht einen einzigen Virus angezeigt. Nun verstehe ich garnichts mehr.Der E scann, spürt er nur auf oder löscht der auch gleichzeitig?

Nein, der löscht auch oder benennt die Dateien um, du kannst in der Logdatei mwXface.log die sich im Ordner bases befindet, auch genau nachsehen, was er gemacht hat.
Erstelle bitte noch mal ein Logfile mit Hijackthis.

Logfile of HijackThis v1.98.2
Scan saved at 21:14:54, on 15.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
c:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\T-Online\T-Online_Software_5\Browser\browser.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Angela\Eigene Dateien\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing)
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe"
O4 - HKLM\..\Run: [zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [minimo] c:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunOnce: [*zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: concept/design's onlineTV - {9EC89FE7-1298-44FF-A0AF-6D9AB6054313} - C:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -
O16 - DPF: {978A4DB6-D22A-4D55-B350-DAB71097BF69} (Wsd Control) - O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) -
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{35761A2A-2DE4-4BA7-91BC-1D97F6DAC7B6}: NameServer = 217.237.151.33 217.237.149.225

ist dass das richtige?

Das ist noch ein altes, hoffe ich zumindest, denn da ist der ganze Mist ja noch drin. Nochmal wie beim ersten Mal HJT starten, Scan drücken, Save log drücken und dann die alte datei überschreiben, dann wieder alles hieher kopieren-

Logfile of HijackThis v1.98.2
Scan saved at 21:43:28, on 15.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
c:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\explorer.exe
C:\Programme\T-Online\T-Online_Software_5\Browser\browser.exe
C:\Dokumente und Einstellungen\Angela\Eigene Dateien\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing)
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe"
O4 - HKLM\..\Run: [zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [minimo] c:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunOnce: [*zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: concept/design's onlineTV - {9EC89FE7-1298-44FF-A0AF-6D9AB6054313} - C:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1083276679984
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {978A4DB6-D22A-4D55-B350-DAB71097BF69} (Wsd Control) - http://install.sofortzugang.com/dial...b?x=1047497548
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{35761A2A-2DE4-4BA7-91BC-1D97F6DAC7B6}: NameServer = 217.237.151.33 217.237.149.225

So, ist jetzt überspielt worden

Wie gesagt, du solltest deinen rechner komplett neu machen und Windows installieren, das wäre das Allerbeste, kennst du nicht jemanden, der dir da helfen kann?

Ansonsten müssen wir es nun mal so probieren, Systemwiederherstellung deaktivieren:

http://www.systemwiederherstellung-d...indows-xp.html

Mit Hijackthis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):

c:\WINDOWS\Fonts\svchost.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebs
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebs
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing)
O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe"
O4 - HKLM\..\Run: [minimo] c:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\RunOnce: [*zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom
O16 - DPF: {978A4DB6-D22A-4D55-B350-DAB71097BF69} (Wsd Control) - http://install.sofortzugang.com/dia...ab?x=1047497548

Danach startest du wieder in den abgesicherten Modus und suchst die folgenden Dateien und löschst sie:

c:\WINDOWS\Fonts\svchost.exe (UNBEDINGT darauf achten, dass es exakt diese ist, im Ordner Fonts!)

C:\Programme\DelFin\PromulGate\PgMonitr.exe

Danach startest du wieder normal, aktivierst die Systemwiederherstellung wieder und erstellst wieder ein NEUES Logfile und postest es.

Könnte es mit meiner Tochter machen,aber so genau weiss sie dann auch nicht bescheid. Wir haben ja windows XP schon einmal neu installiert,haben aber noch 2 andere Versionen drauf.Wie bekommen wir die anderen 2 Versionen gelöscht bzw dürfen/können wir dann die 2 anderen Betiebssysteme löschen (alles XP) ?

Habt ihr mehrere Festplatten bzw. Partitionen? Du meinst wahrscheinlich Benutzerkonten, also nach dem Start von Windows erscheint ein bildischrm, wo sich dann entweder du oder deine Tochter anmeldet.

Eine Neuinstallation würde so aussehen:

http://8ung.at/chemikers-home/SETUP.html

wenn es so ist, wie ich denke, wäre wirklich alles neu, es wären alle Benutzerkonten weg.

also ich (die Tochter) schreibe jetzt. Benutzerkonten haben wir auch,ja,aber das sind,wo man die Datein bzw Bilder etc.auf seinem Konto abspeichern kann,dass weiss ich.
Wir haben insg. 3 Betriebssystemen,alles XP und mom.sind wir auf dem 2 Betriebssystem XP drauf,weil dort noch alle Datein und Programme vorhanden sind. Auf dem 1 ist das gesammte Betriebssystem tot,da passiert gar nix mehr (das war auch mal mit Viren verseucht,da hat Muddern das 2te installiert und das ist jetzt auch verseucht und da hat Muddern das 3 installiert). Und im 3. ten müssten wir microsoft,den t-online messenger etc. (alle Programme u. Hard-u Software) neu installieren und würden gerne wissen wollen, wie und ob man das 1.u2. Betriebssystem löschen kann. Das 3.te NEUE bt.sytm. befindet sich laut Rechner Auskunft auf lokalem Datenträger F:// ... (Partition)

Hoffe du kannst es so halb wegs vertehen, da ich auch blond bin :D hi hi

Nachricht von Muddern:
Vielen Dank für die Hilfe-hätte soviel hilfsbereitschaft nicht erwartet, wenn ich könnte, würde ich Dir jetzt ein küsschen dafür schenken :knuddel: :P *gg*

Wer hat euch denn die Partitionen erstellt und wie viele habt ihr genau? Und wie kommt ihr in die "anderen" Betriebssysteme, gibt es da einen Auswahlbildschirm am Anfang? Ich sehe da noch nicht so ganz durch, was aber sicher nicht an deiner Haarfarbe liegt. :)

Also im Moment geht es um das, was auf C:\ passiert.

Hallo HK,erstmal guten morgen.Ich komme heute späten nachmittag wieder hier rein .Muß jetzt erst mal arbeiten gehen.Ich hatte ein neues Windows schon vorher installiert ,bevor ich Euer Forum besucht habe,aber mit der Recovery CD.Wir würden nur gerne auf der C:bleiben,wo wir jetzt momentan sind und die großen Schwierigkeiten haben,wegen der ganzen Programme und so.Die Patition für die dritteInstallation habe ich selber ausgewählt,es war eine leere vorhanden die ich einfach genommen habe um darauf das neue XP von der Recovery zu installieren. Gruß Angela bis denni