ich brauche hilfe :(
 

hi
ich habe ein problem dieses folgende logfile zu reparieren :(



Logfile of HijackThis v1.98.2
Scan saved at 22:45:28, on 30.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\DSentry.exe
C:\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\logon.exe
C:\WINDOWS\dgxtvhud.exe
C:\WINDOWS\System32\ytkhie.exe
C:\Programme\ISTsvc\istsvc.exe
C:\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Messenger\msmsgs.exe
C:\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Dokumente und Einstellungen\tRiBaL SlaYeR\Anwendungsdaten\mtrn.exe
C:\WINDOWS\System32\m?iexec.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\FileZilla Server\FileZilla Server.exe
C:\Programme\Norton Zeug\System Works\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Zeug\System Works\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~2\SYSTEM~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Opera\opera.exe
C:\Program Files\mIRC\mirc.exe
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R3 - URLSearchHook: Richfind - {6C684090-3C64-4321-A0CB-B69D9FE80515} - C:\WINDOWS\System32\Q335514171.dll (file missing)
O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\mxTarget.dll
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {692139E7-45AA-4752-9442-D1782FA29328} - (no file)
O2 - BHO: (no name) - {7C1833E5-A754-FBFC-594E-8DCAC9DE9EBA} - C:\WINDOWS\System32\dvtmwh.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Zeug\System Works\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Programme\FileZilla Server\FileZilla Server Interface.exe"
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [satmat] C:\WINDOWS\satmat.exe
O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
O4 - HKLM\..\Run: [g6WuFekp] C:\WINDOWS\dgxtvhud.exe
O4 - HKLM\..\Run: [txecol] C:\WINDOWS\System32\ytkhie.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe
O4 - HKCU\..\Run: [Steam] "c:\steam\steam.exe" -silent
O4 - HKCU\..\Run: [LDM] C:\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Iwaa] C:\Dokumente und Einstellungen\tRiBaL SlaYeR\Anwendungsdaten\mtrn.exe
O4 - HKCU\..\Run: [Juwai] C:\WINDOWS\System32\m?iexec.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: WindowsUpdate92580[1].exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'xfire_lsp_9425.dll' missing
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O13 - WWW. Prefix: http://
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.217.29.115/cax.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.browserplugin.com/plugin/...ss_special.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{73D5A3C7-DEAA-4EB6-98C1-BE2752E72A53}: NameServer = 217.237.150.141 217.237.150.97
O18 - Filter: text/html - {00000000-0000-0000-0000-000000000000} - (no file)
O18 - Filter: text/plain - {00000000-0000-0000-0000-000000000000} - (no file)








desweiteren schickt mir mein norton antivirus bei jedem start des inet explorers folgende meldung circa 5mal:
Source: C:\WINDOWS\IETLBASS32.DLL --- Trojan Horse
Cannot deleate File. (so in der art)


kann mir irgendwer bitte helfen? Das wäre klasse :P

mfg shogothe

also zunächst scheint das ein wurm zu sein. um die datei IETLBASS32.DLL zu löschen ist der abgesicherte modus nötig. (dort sollte es möglich sein (einfach den virenscanner über das verzeichnis c:\windows laufen lassen) außerdem sollten nämlich die unten genannten probleme im abgesicherten modus von hijack this gefixt werden;


O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {692139E7-45AA-4752-9442-D1782FA29328} - (no file)
O2 - BHO: (no name) - {7C1833E5-A754-FBFC-594E-8DCAC9DE9EBA} - C:\WINDOWS\System32\dvtmwh.dll
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
O4 - HKLM\..\Run: [satmat] C:\WINDOWS\satmat.exe
O4 - HKLM\..\Run: [txecol] C:\WINDOWS\System32\ytkhie.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe
O4 - HKCU\..\Run: [Steam] "c:\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Iwaa] C:\Dokumente und Einstellungen\tRiBaL SlaYeR\Anwendungsdaten\mtrn.exe
O4 - HKCU\..\Run: [Juwai] C:\WINDOWS\System32\m?iexec.exe
O4 - Startup: WindowsUpdate92580[1].exe

bitte poste ein hijack this log nachdem es erledigt wurde, nochmal

Scanne dein System mit eScan im abgesicherten Modus und poste was gefunden wird (Anleitung genau befolgen!). Am einfachsten machst du das so:
Direkt nach dem Scan, den Inhalt des Fensters "Virus Log Information" kopieren (Strg+A alles markieren; Strg+C kopieren) und dann in einer Textdatei abspeichern (z.B. mit Wordpad o.ä.). Dazu den Inhalt mit Strg+V in das Textverarbeitungsprogramm einfügen und das Dokument dann abspeichern. Nach dem Neustart kannst du die Infos aus der Datei dann einfach ins Forum kopieren.

@Chris14
Das fixen der Einträge bringt gar nichts, wenn man
1.) nicht weiß was sich hinter den Dateien verbirgt.
2.) die Dateien nicht manuell löscht (HjT entfernt nur Einträge aus der Registry)

btw: da gehört noch mehr gefixt, wenn es überhaupt einen Sinn macht.

hm ich weiß das nur die einträge gelöscht werden. is eigentlich auch schwachsinnig was ich gepostet hab, aber ich bin davon ausgegangen, dass diese dateien wenn sie nicht mehr gestartet werden der wurm nicht mehr richtig aktiv wird, außer er ist noch bevor die starteinträge entfernt werden können im abgesicherten modus aktiv(ausgenommen per dienste oder systemfiles sind betroffen)
nya man lernt nie aus :)
hm und ja, ich bin nur vom wichtigsten ausgegangen.