Trojaner-Board - auweh... alles versucht: mittel gegen neuen backdoor.agent.bt

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - auweh... alles versucht: mittel gegen neuen backdoor.agent.bt (https://www.trojaner-board.de/10256-auweh-alles-versucht-mittel-gegen-neuen-backdoor-agent-bt.html)

auweh... alles versucht: mittel gegen neuen backdoor.agent.bt

hallo,
nachdem ich nun 2tage lang alles versucht habe und escan mir untenstehnde viren ausspuckt, ich aber weder eine alte version von escan gefunden habe, noch mit kaspersky und co erfolgreich war, wollte ich fragen, ob sich jemand mein log-file anschauen kann und mir sagen was ich killen muss...? wäre extrem super...

Logfile of HijackThis v1.98.2
Scan saved at 14:47:53, on 30.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\S24EvMon.exe
H:\WINDOWS\system32\rundll32.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Programme\AVPersonal\AVGUARD.EXE
H:\Programme\Apache Group\Apache2\bin\Apache.exe
H:\Programme\AVPersonal\AVWUPSRV.EXE
H:\Program Files\MKS\Bin\NetMonSv.exe
H:\Programme\Apache Group\Apache2\bin\Apache.exe
H:\WINDOWS\system32\ZCfgSvc.exe
H:\WINDOWS\Explorer.EXE
H:\Program Files\MKS\Bin\mksmonsv.exe
H:\Programme\QuickTime\qttask.exe
H:\WINDOWS\SOUNDMAN.EXE
H:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
H:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
H:\Programme\iTunes\iTunesHelper.exe
H:\Programme\AVPersonal\AVGNT.EXE
H:\Program Files\MKS\Bin\mks_menu.exe
H:\Programme\Eset\nod32kui.exe
H:\Programme\Babylon\Babylon.exe
H:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\program files\InterMute\SpySubtract\SpySub.exe
H:\Programme\Eset\nod32krn.exe
H:\WINDOWS\system32\RegSrvc.exe
H:\PROGRA~1\ICQ\ICQ.exe
H:\Programme\iPod\bin\iPodService.exe
H:\WINDOWS\system32\1XConfig.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Program Files\MKS\Bin\mks_virw.exe
H:\Program Files\MKS\Bin\mks_scan.exe
H:\Programme\Internet Explorer\IEXPLORE.EXE
H:\Programme\Microsoft Office\Office\OUTLOOK.EXE
H:\DOKUME~1\ace\LOKALE~1\Temp\mwavscan.com
H:\DOKUME~1\ace\LOKALE~1\Temp\kavss.exe
H:\Dokumente und Einstellungen\ace\Desktop\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.tuwien.ac.at
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.html
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - H:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PRONoMgr.exe] H:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] H:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] H:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] H:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] H:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MKS_MENU] H:\Program Files\MKS\Bin\mks_menu.exe
O4 - HKLM\..\Run: [nod32kui] "H:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [Babylon Translator] H:\Programme\Babylon\Babylon.exe
O4 - HKCU\..\Run: [SpySweeper] "H:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Acrobat Assistant.lnk = H:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = H:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = H:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Google Search - res://H:\Programme\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Edit with Altova X&MLSpy - H:\Programme\Altova\XMLSpy2005\spy.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://H:\Programme\Google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://H:\Programme\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://H:\Programme\Google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - H:\Programme\Altova\XMLSpy2005\spy.htm
O9 - Extra 'Tools' menuitem: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - H:\Programme\Altova\XMLSpy2005\spy.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - H:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - H:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=www.tuwien.ac.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB36EA12-B560-49B5-8436-5FB8CA47640C}: NameServer = 195.34.133.10,195.34.133.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA9F5934-03B2-4BD5-B888-C302D494F447}: NameServer = 195.34.133.10,195.34.133.11

hier mein escan log:
File H:\WINDOWS\system32\wincoreak.dll tagged as not-a-virus:AdWare.Coreak. No Action Taken.
File H:\WINDOWS\system32\winrulesak.dll infected by "TrojanDownloader.Win32.Agent.bt" Virus. Action Taken: No Action Taken.
File H:\WINDOWS\system32\winupdak.dll infected by "TrojanDownloader.Win32.Agent.br" Virus. Action Taken: No Action Taken.
File H:\DOKUME~1\ace\LOKALE~1\TEMPOR~1\Content.IE5\KX67K12F\Setup(1-gmr-0-0-,AT)[1].exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.

bei kaspersky wird der rechner total langsam und es bleibt schließlich bei einer datei hängen deren namen ich jetzt nimmer weiss, aber eigentlich auch ein virus ist...... wenn ich diese datei löschen will geht das nicht, im abgesichterten modus existiert sie nicht....
cwwshredder findet den cww.bootconf... löscht ihn, nach fünf miunten ist er wieder da....
es waren auch schon escans dabei in der dateien wie akrules.dll und akupd.dll mit viren verseucht waren=>ähnliches problem wie oben, wollte die dateien löschen ging nicht, im abgesicherten modus nimma da.

hoster kann zwar die datei fixen, aber nur kurz.
search&destroy findet dso exploit, igetnet ein paar cwwsearches, kann diese aber wieder nur kurz eliminieren
auch nod32 etc... schaffen nix.... hat wer eine ahnung oder muss ich mir escan kaufen? bidde nich..

autoamtische hijack überprüfung bringt auch nix gscheites..
INFOS:
bs: leider noch xp, sp2,

MIR scheint es so, als ob dieser agent.bt so eine art muttertrojaner ist der mehrere mit sich bringt oder herunterlädt... diese kann man (ich) dann relativ einfach herunterlöschen, aber nur kurzfristig, weil sie beim nächsten check wieder da sind.

DANKE?!
raphael

Der da: TrojanDownloader.Win32.Agent.bt und sein Kollege dürften Teile eines Adware-Pakets sein.
Laß mal den alten eScan laufen.
(mwav.exe in den Ordner c:\bases entpacken, updaten (kavupd.exe) und dann mwav.com laufen lassen) Das ganze im abgesicherten Modus.
Berichte dann über das eScan-Ergebnis und poste ein neues Logfile rein.

sodala, habe nun escan mehrmals drüberlaufen lassen. mit dazwischen neuhochfahren und so...einiges dürfte schon wegsein....
folgendes gibt es aber noch:

Logfile of HijackThis v1.98.2
Scan saved at 08:13:12, on 01.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\rundll32.exe
H:\WINDOWS\system32\ZCfgSvc.exe
H:\WINDOWS\Explorer.EXE
C:\bases\mwavscan.com
H:\Programme\Microsoft Office\Office\OUTLOOK.EXE
H:\WINDOWS\system32\NOTEPAD.EXE
H:\Dokumente und Einstellungen\ace\Desktop\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.tuwien.ac.at
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.html
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - H:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PRONoMgr.exe] H:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] H:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] H:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] H:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] H:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MKS_MENU] H:\Program Files\MKS\Bin\mks_menu.exe
O4 - HKLM\..\Run: [nod32kui] "H:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [Babylon Translator] H:\Programme\Babylon\Babylon.exe
O4 - Global Startup: Acrobat Assistant.lnk = H:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = H:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = H:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe
O4 - Global Startup: WinZip Quick Pick.lnk = H:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://H:\Programme\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Edit with Altova X&MLSpy - H:\Programme\Altova\XMLSpy2005\spy.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://H:\Programme\Google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://H:\Programme\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://H:\Programme\Google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - H:\Programme\Altova\XMLSpy2005\spy.htm
O9 - Extra 'Tools' menuitem: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - H:\Programme\Altova\XMLSpy2005\spy.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - H:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - H:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=www.tuwien.ac.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB36EA12-B560-49B5-8436-5FB8CA47640C}: NameServer = 195.34.133.10,195.34.133.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA9F5934-03B2-4BD5-B888-C302D494F447}: NameServer = 195.34.133.10,195.34.133.11

=> wie man sieht sind die hosteinträge noch immer da, die auch gleich wieder kommen, auch im abgesicherten modus....
hier mein escan aus dem abgesicherten:

File H:\WINDOWS\system32\wincoreak.dll tagged as not-a-virus:AdWare.Coreak. No Action Taken.
File H:\Dokumente und Einstellungen\ace\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KX67K12F\Setup(1-gmr-0-0-,AT)[1].exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.

hilft dir das was?
lg
raphael

Deaktiviere die Systemwiederherstellung, öffne im abgesicherten Modus die Hostdatei mit dem Editor Windows/system32/driver/etc und lösche alle Einträge bis auf die 127.0.0.1 localhost-Einträge. Neustart, Systemwiederherstellung aktivieren.

shi,

das mit dem host-file hat leider nichts geholfen, konnte zwar alle einträge brav löschen, aber einmal den explorer dann wieder geöffnet und schon waren alle meine zusätzlichen host einträge wieder drinnen. escan findet gar keinen virus mehr ....komisch nicht....cwshredder findet den bootconf auch nachwievor und nach zwei minuten ist er wieder da....
so siehts aus:

127.0.01 localhost
127.0.0.1 www.igetnet.com
127.0.0.1 code.ignphrases.com
127.0.0.1 clear-search.com
127.0.0.1 r1.clrsch.com
127.0.0.1 sds.clrsch.com
127.0.0.1 status.clrsch.com
127.0.0.1 www.clrsch.com
127.0.0.1 clr-sch.com
127.0.0.1 sds-qckads.com
127.0.0.1 status.qckads.com
69.20.16.183 auto.search.msn.com
69.20.16.183 search.netscape.com
69.20.16.183 ieautosearch

hier mein hijack log im normalen modus:Logfile of HijackThis v1.98.2
Scan saved at 19:30:56, on 01.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\S24EvMon.exe
H:\WINDOWS\system32\ZCfgSvc.exe
H:\WINDOWS\system32\rundll32.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Programme\AVPersonal\AVGUARD.EXE
H:\Programme\Apache Group\Apache2\bin\Apache.exe
H:\Programme\AVPersonal\AVWUPSRV.EXE
H:\Program Files\MKS\Bin\NetMonSv.exe
H:\Program Files\MKS\Bin\mksmonsv.exe
H:\Programme\Apache Group\Apache2\bin\Apache.exe
H:\Programme\Eset\nod32krn.exe
H:\WINDOWS\system32\RegSrvc.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\1XConfig.exe
H:\Programme\QuickTime\qttask.exe
H:\WINDOWS\SOUNDMAN.EXE
H:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
H:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
H:\Programme\iTunes\iTunesHelper.exe
H:\Programme\AVPersonal\AVGNT.EXE
H:\Program Files\MKS\Bin\mks_menu.exe
H:\Programme\Eset\nod32kui.exe
H:\Programme\Babylon\Babylon.exe
H:\Programme\iPod\bin\iPodService.exe
H:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\program files\InterMute\SpySubtract\SpySub.exe
H:\Programme\WinZip\WZQKPICK.EXE
H:\PROGRA~1\ICQ\ICQ.exe
H:\WINDOWS\system32\wuauclt.exe
H:\PROGRA~1\WINZIP\winzip32.exe
H:\Programme\Internet Explorer\IEXPLORE.EXE
H:\Dokumente und Einstellungen\ace\Lokale Einstellungen\Temp\Hoster.exe
H:\Programme\Internet Explorer\iexplore.exe
H:\Dokumente und Einstellungen\ace\Desktop\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.tuwien.ac.at
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.html
O1 - Hosts: 127.0.01 localhost
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - H:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PRONoMgr.exe] H:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] H:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] H:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] H:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] H:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MKS_MENU] H:\Program Files\MKS\Bin\mks_menu.exe
O4 - HKLM\..\Run: [nod32kui] "H:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [Babylon Translator] H:\Programme\Babylon\Babylon.exe
O4 - Global Startup: Acrobat Assistant.lnk = H:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = H:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = H:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe
O4 - Global Startup: WinZip Quick Pick.lnk = H:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://H:\Programme\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Edit with Altova X&MLSpy - H:\Programme\Altova\XMLSpy2005\spy.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://H:\Programme\Google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://H:\Programme\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://H:\Programme\Google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - H:\Programme\Altova\XMLSpy2005\spy.htm
O9 - Extra 'Tools' menuitem: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - H:\Programme\Altova\XMLSpy2005\spy.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - H:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - H:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=www.tuwien.ac.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB36EA12-B560-49B5-8436-5FB8CA47640C}: NameServer = 195.34.133.10,195.34.133.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA9F5934-03B2-4BD5-B888-C302D494F447}: NameServer = 195.34.133.10,195.34.133.11

zu beachten es sind "nur" 4(bzw. eigentlich 3 ohne localhost) einträge drinnen, während hoster 13 (12) anzeigt...

any more suggestions?
wäre echt toll, wenn mir jemand weiterhelfen könnte... danke.

raphael

Genau das gleiche Problem das ich hab, aber wirklich genau das gleiche. Hab leider bisher noch keine Lösung und hab wirklich alles probiert. Hat noch wer Ideen?

escan
hijackthis!
ad-aware
adware away
s&d
cw shredder
spy subtract
und antivirus schaffen es nicht die sache zu beheben, nichts zu machen.

Egal was ich lösche, es ist innerhalb eines Sekundenbruchteils wieder da....alle Programme finden die falschen Hosts einträge, aber weder die Programme noch ich kann was dran ändern, auch das ändern per Hand bringt nichts.

@ tallica0815

poste uns doch mal einen HijackthislogDas Programm scheinst du ja zu haben.Poste uns auch einen Log mit dem Ergebnis des Escans.Das solltest du ja evtl. auch noch haben.Jedenfalls verstehe ich deinen vorigen Post so.

Edit:

ach ja poste die entsprechenden Logs in einem neuen Thread, sonst wirds ier sehr schnell unübersichtlich

@ raphaelschnee

teile uns das gesamte (!) Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> virus eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Erstelle ein neues Hijack This Logfile und poste es.

SD

hallo,

nachdem ich kurzfristig dachte ich hatte den virus weg, er war im abgesicherten nimmer da.... ist er wieder da....

d.h. im abgesicherten krieg ich ihn mit löschen des content.ie5 folders und cwshredden (bootconf) und hostfile fixen weg, dass er nicht mehr kommt solange ich abgesichert (OHNE NETZWERKVERBINDUNGEN) hochfahre.....sobald ich aber abgesichert mit netzwerkverbindungen hochfahre ist er wieder da... kann dann den cw.bootconf und überflüssigen hosteinträge löschen und fixen, nach 10secs sind sie aber wieder da....

escan mwav.log file:
------------------

Tue Nov 30 19:42:51 2004 => File H:\WINDOWS\system32\wincoreak.dll tagged as not-a-virus:AdWare.Coreak. No Action Taken.
Tue Nov 30 19:42:52 2004 => File H:\WINDOWS\system32\winrulesak.dll infected by "TrojanDownloader.Win32.Agent.bt" Virus. Action Taken: File Deleted.

Tue Nov 30 21:27:38 2004 => File H:\Dokumente und Einstellungen\ace\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KX67K12F\Setup(1-gmr-0-0-,AT)[1].exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.

Tue Nov 30 21:52:33 2004 => File H:\System Volume Information\_restore{7B944897-0A66-46AF-8F7C-AD82590DC2D4}\RP44\A0013387.dll infected by "TrojanDownloader.Win32.Agent.bt" Virus. Action Taken: File Deleted.

Tue Nov 30 21:52:33 2004 => File H:\System Volume Information\_restore{7B944897-0A66-46AF-8F7C-AD82590DC2D4}\RP44\A0013388.dll infected by "TrojanDownloader.Win32.Agent.br" Virus. Action Taken: File Deleted.
Wed Dec 01 00:46:46 2004 => File H:\WINDOWS\system32\wincoreak.dll tagged as not-a-virus:AdWare.Coreak. No Action Taken.

Wed Dec 01 01:45:40 2004 => File H:\Dokumente und Einstellungen\ace\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KX67K12F\Setup(1-gmr-0-0-,AT)[1].exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.

ich habe nun 2 hijackthis log files einmal im abgesicherten, nachdem der virus nimma kommt:

Logfile of HijackThis v1.98.2
Scan saved at 17:27:49, on 03.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\ZCfgSvc.exe
H:\WINDOWS\system32\rundll32.exe
H:\WINDOWS\Explorer.EXE
C:\program files\InterMute\SpySubtract\CWShredder.exe
H:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_198.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.tuwien.ac.at
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.tuwien.ac.at
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - H:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PRONoMgr.exe] H:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] H:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] H:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] H:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [nod32kui] "H:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE
O4 - Global Startup: Acrobat Assistant.lnk = H:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = H:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = H:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - H:\Programme\Altova\XMLSpy2005\spy.htm
O9 - Extra 'Tools' menuitem: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - H:\Programme\Altova\XMLSpy2005\spy.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - H:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - H:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=www.tuwien.ac.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB36EA12-B560-49B5-8436-5FB8CA47640C}: NameServer = 195.34.133.10,195.34.133.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA9F5934-03B2-4BD5-B888-C302D494F447}: NameServer = 195.34.133.10,195.34.133.11

und einmal abgesichert mit netzwerktreibern wo die gleiche situation gleich ist wie im normalen modues (so kann man halt schon mehr ausschließen)
wäre toll, wenn ihr mir noch weiterhelfenkönntet:
Logfile of HijackThis v1.98.2
Scan saved at 17:56:15, on 03.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\ZCfgSvc.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\rundll32.exe
H:\Dokumente und Einstellungen\ace\Desktop\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.tuwien.ac.at
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.html
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - H:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PRONoMgr.exe] H:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] H:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] H:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] H:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [nod32kui] "H:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [Babylon Translator] H:\Programme\Babylon\Babylon.exe
O4 - Global Startup: Acrobat Assistant.lnk = H:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = H:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = H:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://H:\Programme\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Edit with Altova X&MLSpy - H:\Programme\Altova\XMLSpy2005\spy.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://H:\Programme\Google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://H:\Programme\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://H:\Programme\Google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - H:\Programme\Altova\XMLSpy2005\spy.htm
O9 - Extra 'Tools' menuitem: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - H:\Programme\Altova\XMLSpy2005\spy.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - H:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - H:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=www.tuwien.ac.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB36EA12-B560-49B5-8436-5FB8CA47640C}: NameServer = 195.34.133.10,195.34.133.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA9F5934-03B2-4BD5-B888-C302D494F447}: NameServer = 195.34.133.10,195.34.133.11

danke.
lg
raphael

Hast du auch immer die Systemwiederherstellung aktiviert, wie es aussieht nämlich nicht.Da findet ihn(den Trojaner) Escan ja auch.
Also lösche und fixxe alle Einträge bei deaktivierter Systemwiederherstellung im abgesicherten Modus:

Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Wenn alles gelöscht, Neustart und Systemwiderherstellung wieder angeworfen

stimmt hab ich nicht, aber habs jetzt gemacht und funkt trotzdem nicht.

habe jetzt abgesichert cwshredder und hostfiles gefixt (hoster, etc.) als wiederherstellung deaktiviert war.

dann wieder normal neu hochgefahren
und systemwiedererstellung aktiviert...

wenn ich jetzt cwshredder drüberlaufen lasse und hjackthis mäßig die ns-einträge fixe kommen sie 10sec späterwieder..

soll ich nicht im abgesicherten wieder aktivieren?
lg
raphael

hi
mach nochmal einen scan mit hjt und poste das ergebnis herein, aber im normalen modus.
poste ein prozess-logbuch (ebenfalls mit hjt) unter config->misc-tool->open prozess manager --> und hier die kleine disc drücken :)

here it comes.

Logfile of HijackThis v1.98.2
Scan saved at 19:40:07, on 03.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\S24EvMon.exe
H:\WINDOWS\system32\ZCfgSvc.exe
H:\WINDOWS\system32\rundll32.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Programme\AVPersonal\AVGUARD.EXE
H:\Programme\Apache Group\Apache2\bin\Apache.exe
H:\Programme\AVPersonal\AVWUPSRV.EXE
H:\Programme\Eset\nod32krn.exe
H:\WINDOWS\system32\RegSrvc.exe
H:\Programme\Apache Group\Apache2\bin\Apache.exe
H:\WINDOWS\Explorer.EXE
H:\Programme\QuickTime\qttask.exe
H:\WINDOWS\SOUNDMAN.EXE
H:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
H:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
H:\WINDOWS\system32\1XConfig.exe
H:\Programme\iTunes\iTunesHelper.exe
H:\Programme\AVPersonal\AVGNT.EXE
H:\Programme\Eset\nod32kui.exe
H:\Programme\Babylon\Babylon.exe
H:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
H:\Programme\iPod\bin\iPodService.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Programme\Internet Explorer\IEXPLORE.EXE
C:\bases\mwavscan.com
C:\bases\kavss.exe
H:\Dokumente und Einstellungen\ace\Desktop\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.tuwien.ac.at
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.html
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - H:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PRONoMgr.exe] H:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] H:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] H:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] H:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [nod32kui] "H:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [Babylon Translator] H:\Programme\Babylon\Babylon.exe
O4 - Global Startup: Acrobat Assistant.lnk = H:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = H:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = H:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://H:\Programme\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Edit with Altova X&MLSpy - H:\Programme\Altova\XMLSpy2005\spy.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://H:\Programme\Google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://H:\Programme\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://H:\Programme\Google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - H:\Programme\Altova\XMLSpy2005\spy.htm
O9 - Extra 'Tools' menuitem: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - H:\Programme\Altova\XMLSpy2005\spy.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - H:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - H:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=www.tuwien.ac.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB36EA12-B560-49B5-8436-5FB8CA47640C}: NameServer = 195.34.133.10,195.34.133.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA9F5934-03B2-4BD5-B888-C302D494F447}: NameServer = 195.34.133.10,195.34.133.11

Process list saved on 19:41:44, on 03.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)

[full path to filename] [file version] [company name]
H:\WINDOWS\System32\smss.exe 5.1.2600.2180 Microsoft Corporation
H:\WINDOWS\system32\winlogon.exe 5.1.2600.2180 Microsoft Corporation
H:\WINDOWS\system32\services.exe 5.1.2600.2180 Microsoft Corporation
H:\WINDOWS\system32\lsass.exe 5.1.2600.2180 Microsoft Corporation
H:\WINDOWS\system32\Ati2evxx.exe 6.14.10.4094
H:\WINDOWS\system32\svchost.exe 5.1.2600.2180 Microsoft Corporation
H:\WINDOWS\System32\svchost.exe 5.1.2600.2180 Microsoft Corporation
H:\WINDOWS\system32\S24EvMon.exe 8.0.0.161 Intel Corporation
H:\WINDOWS\system32\ZCfgSvc.exe 8.0.0.161 Intel Corporation
H:\WINDOWS\system32\rundll32.exe 5.1.2600.2180 Microsoft Corporation
H:\WINDOWS\system32\spoolsv.exe 5.1.2600.2180 Microsoft Corporation
H:\Programme\AVPersonal\AVGUARD.EXE 6.28.0.15 H+BEDV Datentechnik GmbH
H:\Programme\Apache Group\Apache2\bin\Apache.exe 2.0.52.0 Apache Software Foundation
H:\Programme\AVPersonal\AVWUPSRV.EXE 6.28.0.1 H+BEDV Datentechnik GmbH, Germany
H:\Programme\Eset\nod32krn.exe
H:\WINDOWS\system32\RegSrvc.exe 8.0.0.161 Intel Corporation
H:\Programme\Apache Group\Apache2\bin\Apache.exe 2.0.52.0 Apache Software Foundation
H:\WINDOWS\Explorer.EXE 6.0.2900.2180 Microsoft Corporation
H:\Programme\QuickTime\qttask.exe 6.5.1.17 Apple Computer, Inc.
H:\WINDOWS\SOUNDMAN.EXE 5.1.0.11 Realtek Semiconductor Corp.
H:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe 6.1.304.0 Intel(R) Corporation
H:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
H:\WINDOWS\system32\1XConfig.exe 8.0.0.161 Intel
H:\Programme\iTunes\iTunesHelper.exe 4.7.0.42 Apple Computer, Inc.
H:\Programme\AVPersonal\AVGNT.EXE 6.28.0.2 H+BEDV Datentechnik GmbH
H:\Programme\Eset\nod32kui.exe
H:\Programme\Babylon\Babylon.exe 4.0.1.6 Babylon Ltd.
H:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe 6.0.0.878 Adobe Systems Inc.
H:\Programme\iPod\bin\iPodService.exe 4.7.0.42 Apple Computer, Inc.
H:\WINDOWS\system32\wuauclt.exe 5.4.3790.2182 Microsoft Corporation
H:\Programme\Internet Explorer\IEXPLORE.EXE 6.0.2900.2180 Microsoft Corporation
C:\bases\mwavscan.com 1.0.0.1 MSSPL
C:\bases\kavss.exe 4.0.2.10 Kaspersky Lab.
H:\Dokumente und Einstellungen\ace\Desktop\hijackthis_198\HijackThis.exe 1.98.0.2 Soeperman Enterprises Ltd.
H:\WINDOWS\system32\NOTEPAD.EXE 5.1.2600.2180 Microsoft Corporation
H:\WINDOWS\system32\rundll32.exe 5.1.2600.2180 Microsoft Corporation

danke
lg
raphael

hi
wie sind nicht malwarefrei, daher hat das abschalten der systemweiderherstellung keinen sinn.
sinn macht es erst dann, wenn keine malware im normalen prozess abläuft, d.h. dein system sauber ist, und dann die systemweiderherstellung zu deaktivieren, neustart und wieder aktivieren --> dann gibt es keine whp, der mit malware verseucht ist.

wie stabil ist dein system an und für sich ?

verwende den regcleaner und trenne den rechner vom netz.
alle autostarteinträge (bis auf dein antivirenprogramm) verwerfen
mit HijackThis fixen
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O8 - Extra context menu item: Edit with Altova X&MLSpy - H:\Programme\Altova\XMLSpy2005\spy.htm
O9 - Extra button: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - H:\Programme\Altova\XMLSpy2005\spy.htm
O9 - Extra 'Tools' menuitem: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - H:\Programme\Altova\XMLSpy2005\spy.htm

rechner neustart und testen, stabil --> swh deaktivieren, neustart, wieder aktivieren
hij log überprüfen, ob obige einträge wieder vorhanden sind, --> rückmeldung mit neuem hjt logfile
system instabil format:c
und folgendes befolgen
überprüfe deine persönlichen daten auf malwarebefall und sichere sie auf einem wechselmedium.
besorge dir alle für dein system benötigte treiber in der aktuellen version.
für windows xp sollte das sp2 bereitliegen.
eine antivirensoftware mit aktueller virenerkennungsdatei und eine firewall sollten jedenfalls auch auf einem wechselmedium vorbereitet sein.
ein alternativer browser (mozilla firefox) und mailprogramm (mozilla thunderbird) oder das Komplett-Paket (Mozilla Suite kann vorbereitet werden,
vorteil: man kann die sicherheitseinstellungen vor der ersten internetverbindung überprüfen und korrigieren.
windows-dienste sicher konfigurieren und spybot s&d sollten hier auch nicht fehlen.
(links zu den genannten programmen findest du hier auf meiner HP Security-Tools)

der rechner soll vom internet getrennt sein !!
überlege dir, welche passwörter du verwenden möchtest.
anleitung zur (neu)Installation von windows-xp
setze nach erfolgreicher installation von winxp sofort windows sp2 auf.
ein benutzerkonto ohne administratoren-rechte anlegen ( mit diesem wird gesurft)
internetexplorer --> einstellungen unter extras -> internetoptionen -> sicherheit-> stufe anpassen auf hoch stellen gegebenenfalls kontrollieren, auf automatisch sollte nichts stehen.
outlook (express) unter extras -> optionen -> sicherheit -> nur text aktivieren
installiere nun dein antivirenprogramm
installiere nun deine personalfirewall (vorher muss allerdings die firewall von winxpsp2 deaktiviert werden)
installiere nun deinen browser und dein emailprogramm
antivrienprogramm, firewall, browser und mailprogramm konfigurieren
so, nun kannst du die verbindung zum internet herstellen, zuerst ein update deiner antiviren-software durchführen, dann windows-update.
überprüfe nun deine einstellungen des browsers und des mailprogramms über heise.de
bevor du nun deine persönlichen daten vom wechselmedium wieder auf die festplatte zurückspielst, die dateien mit deinem antivirenprogramm überprüfen, ob wirklich keine malware vorhanden ist.
nun kannst du deine benötigte software installieren. und in zukunft, programme nur vom hersteller oder aus sicherer quelle (z.b. von pc-magazinen)
verwenden, kein filesharing betreiben, keine dubiosen internetseiten besuchen und keine mailanhänge ohne vorherige ankündigung öffnen. windows-betriebssystem,-programme und die restliche sicherheitssoftware immer am aktuellen stand halten, wöchentlich auf mögliche update überprüfen.[/qoute]