Brauche Hilfe / Hijackthis / CWS
 

Logfile of HijackThis v1.99.1
Scan saved at 12:40:22, on 16.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Firebird\bin\ibserver.exe
C:\WINDOWS\ncple\ncprwsnt.exe
C:\WINDOWS\ncple\ncpsec.exe
c:\orant\bin\oracle73.exe
C:\ORANT\BIN\TNSLSNR.EXE
C:\WINDOWS\ncple\rwsrsu.exe
c:\orant\bin\strtdb73.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Launch Manager\QtDTAcer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\khooker.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\CmWatch.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\ncple\ncpbudgt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\joqovaaa.exe
C:\WINDOWS\System32\intell32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\phonostar\ps_agent.exe
C:\Palm\AlarmApp.exe
C:\Programme\FRITZ!\IWatch.exe
C:\lotus\register\remind32.exe
C:\Programme\PDF-XChangeSDKEU\PDFSaver.exe
C:\Programme\Quit-Win 1.4\quitwin.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Dienstprogramm ZyAIR USB\ZyAIR.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Palm\HOTSYNC.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\inet20081\winlogon.exe
C:\WINDOWS\System32\dllcache\IExplore.exe
C:\WINDOWS\winsocks5.exe
C:\WINDOWS\mm1.exe
C:\Dokumente und Einstellungen\Klaus\Transport\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
F3 - REG:win.ini: run=C:\WINDOWS\inet20081\winlogon.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtDTAcer.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CmCardRun] C:\WINDOWS\system32\CmWatch.exe
O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
O4 - HKLM\..\Run: [RemoveCpl] RemoveCpl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Hot_Tarts_mc] C:\Program Files\Video1\Dialers\Hot_Tarts_mc\Hot_Tarts_mc.exe /dontdial
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Mdmdll32] c:\windows\system32\mdmdll32.exe
O4 - HKLM\..\Run: [NcpPopup] C:\WINDOWS\ncple\ncppopup.exe noerrmsg
O4 - HKLM\..\Run: [NcpBudget] C:\WINDOWS\ncple\ncpbudgt.exe
O4 - HKLM\..\Run: [NcpMonitor] C:\WINDOWS\ncple\ncpmon.exe autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [joqovaaa] C:\WINDOWS\System32\joqovaaa.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20081\winlogon.exe
O4 - HKLM\..\Run: [Microsoft standard protector] C:\WINDOWS\winsocks5.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [joqovaaa] C:\WINDOWS\System32\joqovaaa.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20081\winlogon.exe
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Startup: HotSync Manager.LNK = C:\Palm\HOTSYNC.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: winupdate79851693[1].exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Alarm Manager.LNK = C:\Palm\AlarmApp.exe
O4 - Global Startup: E-Mail.lnk = ?
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Lotus SmartSuite r9 Registrierung.lnk = C:\lotus\register\remind32.exe
O4 - Global Startup: PDF-Capture.lnk = C:\Programme\PDF-XChangeSDKEU\PDFSaver.exe
O4 - Global Startup: Quit-Win 1.4.lnk = C:\Programme\Quit-Win 1.4\quitwin.exe
O4 - Global Startup: ZyAIR USB.lnk = C:\Programme\Dienstprogramm ZyAIR USB\ZyAIR.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FD95347-B0BC-4507-BD94-4438EB2CD516}: NameServer = 192.168.0.200
O17 - HKLM\System\CCS\Services\Tcpip\..\{5518759A-F89C-47BC-B681-716F27BBEAA2}: NameServer = 192.168.0.200
O17 - HKLM\System\CCS\Services\Tcpip\..\{96C5E85D-3FCE-4CE4-B3A0-15F6275989BC}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Firebird Server (InterBaseServer) - FirebirdSQL Project - C:\Programme\Firebird\bin\ibserver.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ncprwsnt - Unknown owner - C:\WINDOWS\ncple\ncprwsnt.exe
O23 - Service: NcpSec - Unknown owner - C:\WINDOWS\ncple\ncpsec.exe
O23 - Service: OracleServiceW150 - Oracle Corporation - c:\orant\bin\oracle73.exe
O23 - Service: OracleStartW150 - Unknown owner - c:\orant\bin\strtdb73.exe
O23 - Service: OracleTNSListener - Unknown owner - C:\ORANT\BIN\TNSLSNR.EXE
O23 - Service: RwsRsu (rwsrsu) - Unknown owner - C:\WINDOWS\ncple\rwsrsu.exe
O23 - Service: Technodat - PCS 2.30 (TD_PCS_2_30) - Unknown owner - C:\Programme\Technodat\kae\150\pcs\pcsService.exe

Kann mir jemand sagen, wie ich das Ding loswerde?

Danke für die Hilfe...

sandstern

Arbeite Dich mal hier durch:
http://www.trojaner-board.de/showthread.php?t=17863

Hallo, sandstern!
Hier liegt wohl die Ursache für deine Probs. Dein Sys ist halt nicht aktuell - solltet auf jeden Fall nach der Bereinigung SP 2 plus div Sicherheitspatches saugen!!!
Schaut nach dialer aus
http://www.superadblocker.com/definition/hot_tarts_mc/
http://www3.ca.com/securityadvisor/p...x?id=453068396
sichere die Datei für spätere Nachweiszwecke, falls Du Probleme wegen der Verbindungsentgelte bekommen solltest!
guckst du
http://www.bleepingcomputer.com/star....exe-2742.html
oder
http://startup.iamnotageek.com/srch-mdmdll32.exe.html
oder
http://www.tasklist.org/task_mdmdll32_exe_5198.html
ist nämlich der hier
http://www.sophos.com/virusinfo/anal...jcrypterc.html
lass die Datei mal bei
http://virusscan.jotti.org/de/
möglicherweise ein w32.netsky
guckst du
http://www.neuber.com/taskmanager/de...logon.exe.html
Guckst du hier
http://www.bleepingcomputer.com/star....exe-2248.html
laut symantec ein backdoor
http://securityresponse.symantec.com...raybird.f.html
Damit scheint mir jeder Rettungsversuch sinnlos

Daher folge
Cidres link zum Neuaufsetzen und Absichern deines Systems
(vergiss nicht, den dialer zu sichern)
http://www.trojaner-board.de/showthread.php?t=12154

Du kannst deinem Sys nicht mehr trauen - spar Dir die Versuche und setz´es neu auf!
Folge vor allem ganz genau den Anleitungen zum anschließenden Absichern des Systems bevor Du wieder in Netz hüpfst!
Viel Glück dabei
stupormundi