Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   hilfe ich weiß nicht mehr weiter (https://www.trojaner-board.de/10804-hilfe-weiss-mehr.html)

m2raider 15.12.2004 18:54
hilfe ich weiß nicht mehr weiter
 
Nach gründlichem lesen im Bord habe ich folgenes Problem :headbang:
Mein Rechner ist voll mit irgendwelchen trojaner und ich bekomm sie nicht mehr runter

Logfile of HijackThis v1.98.2
Scan saved at 18:52:46, on 15.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\etc\MSPX-32.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\NetPumper\NetPumperIEProxy.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\logon.exe
C:\Dokumente und Einstellungen\Mandy_Mäuschen\Anwendungsdaten\estr.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe
C:\Programme\NetPumper\NetPumperPro.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\Programme\The Cleaner\cleaner.exe
C:\Programme\The Cleaner\tca.exe
C:\Programme\The Cleaner\tcm.exe
C:\Programme\WinAce\WinAce.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\MANDY_~1\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.eorpzmibfirc.com/ygW9c_qg...KrbfSScAxO.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.begin2search.com/sidesearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orjiwqifog.com/ygW9c_qg9p...5bTdHaKD8.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.real.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
F3 - REG:win.ini: run=c:\windows\system32\mswavedll.exe
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Programme\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Hot_Tarts_mc] C:\Program Files\Video1\Dialers\Hot_Tarts_mc\Hot_Tarts_mc.exe /dontdial
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
O4 - HKLM\..\Run: [Mswavedll] c:\windows\system32\mswavedll.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [Sendcool] C:\DOKUME~1\MANDY_~1\ANWEND~1\SLOWLO~1\SURFATOM.exe
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\Mandy_Mäuschen\Anwendungsdaten\estr.exe
O4 - HKCU\..\Run: [Mswavedll] c:\windows\system32\mswavedll.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen mit Copernic Agent - C:\Programme\Copernic Agent\Web\SearchExt.htm
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Starten von Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.real.de/
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://207.234.185.217/ABoxInst_int2.exe
O16 - DPF: {07E9CDF4-20D2-46B1-B681-663968F527CE} - http://www.begin2search.com/toolbar/bar/winb2s32.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {51641EF3-8A7A-4D84-8659-B0911E947CC8} - http://www.contenidospc.com/instalador.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094984330843
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.eingang69.de/EroticAccess...ss_special.ocx
O16 - DPF: {FF521631-31DA-48AC-B4E9-390A7694C906} (EGEGAUTH Class) - http://akamai.downloadv3.com/binarie..._1_4_EN_XP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B103F9CF-2F68-4E81-B885-0F45CC2C7382}: NameServer = 62.26.136.136 195.185.185.195


habe das mal hinzugefügt
bitte bitte um hilfe

chaosman 15.12.2004 20:19
@m2raider
lade dir escan hier
mache es genauso wie hier
beschrieben wird.
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."


chaosman

m2raider 15.12.2004 21:32
so habe escan gemacht


Wed Dec 15 21:07:17 2004 => File c:\dokume~1\mandy_~1\lokale~1\temp\wyxxaqrm.exe infected by "not-a-virus:AdWare.Lop.e" Virus. Action Taken: No Action Taken.
Wed Dec 15 21:07:17 2004 => Scanning File C:\DOKUME~1\MANDY_~1\ANWEND~1\estr.exe
Wed Dec 15 21:07:17 2004 => File C:\DOKUME~1\MANDY_~1\ANWEND~1\estr.exe infected by "not-a-virus:AdWare.PurityScan.w" Virus. Action Taken: No Action Taken.
Wed Dec 15 21:07:22 2004 => File C:\WINDOWS\logon.exe infected by "Trojan-Downloader.Win32.VB.fi" Virus. Action Taken: No Action Taken.
Wed Dec 15 21:07:46 2004 => File C:\WINDOWS\logon.exe infected by "Trojan-Downloader.Win32.VB.fi" Virus. Action Taken: No Action Taken.


Wed Dec 15 21:07:47 2004 => Scanning File C:\DOKUME~1\MANDY_~1\ANWEND~1\estr.exe
Wed Dec 15 21:07:47 2004 => File C:\DOKUME~1\MANDY_~1\ANWEND~1\estr.exe infected by "not-a-virus:AdWare.PurityScan.w" Virus. Action Taken: No Action Taken.
Wed Dec 15 21:08:09 2004 => File C:\WINDOWS\logon.exe infected by "Trojan-Downloader.Win32.VB.fi" Virus. Action Taken: No Action Taken.
Wed Dec 15 21:11:14 2004 => File C:\DOKUME~1\MANDY_~1\LOKALE~1\Temp\wyxxaqrm.exe infected by "not-a-virus:AdWare.Lop.e" Virus. Action Taken: No Action Taken.
Wed Dec 15 21:13:29 2004 => File C:\Dokumente und Einstellungen\Mandy_Mäuschen\Anwendungsdaten\estr.exe infected by "not-a-virus:AdWare.PurityScan.w" Virus. Action Taken: No Action Taken.
Wed Dec 15 21:13:38 2004 => File C:\Dokumente und Einstellungen\Mandy_Mäuschen\Anwendungsdaten\slow logo\ihgepoqe.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
Wed Dec 15 21:13:39 2004 => File C:\Dokumente und Einstellungen\Mandy_Mäuschen\Anwendungsdaten\slow logo\junlxqtm.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
Wed Dec 15 21:13:39 2004 => File C:\Dokumente und Einstellungen\Mandy_Mäuschen\Anwendungsdaten\slow logo\phsibtxw.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
Wed Dec 15 21:13:39 2004 => File C:\Dokumente und Einstellungen\Mandy_Mäuschen\Anwendungsdaten\slow logo\pjdabwbt.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
Wed Dec 15 21:13:39 2004 => Scanning File C:\Dokumente und Einstellungen\Mandy_Mäuschen\Anwendungsdaten\slow logo\Safe Grim Proxy Cdrom.exe
Wed Dec 15 21:13:40 2004 => File C:\Dokumente und Einstellungen\Mandy_Mäuschen\Anwendungsdaten\slow logo\Safe Grim Proxy Cdrom.exe infected by "Trojan-Downloader.Win32.Swizzor.cc" Virus. Action Taken: No Action Taken.
Wed Dec 15 21:13:40 2004 => File C:\Dokumente und Einstellungen\Mandy_Mäuschen\Anwendungsdaten\slow logo\SURFATOM.exe infected by "not-a-virus:AdWare.Lop.e" Virus. Action Taken: No Action Taken.



das hat er mir alles angezeigt mit infected

Haui45 15.12.2004 22:38
Poste bitte folgendes aus der mwav.log (zu finden unter C:\bases):

Zitat:
Total Files Scanned:
Total Virus(es) Found:
Total Disinfected Files:
Total Files Renamed:
Total Deleted Files:
Total Errors:
Time Elapsed:
Virus Database Date:
Virus Database Count:
PS: die Infos stehen ganz am Ende

m2raider 15.12.2004 23:43
ich war zwichendurch etwas fleißig, und habe ohne systemwiederherstellung einiges gelöscht, dass ist das ergebnis




Wed Dec 15 23:30:26 2004 => Total Files Scanned: 43085
Wed Dec 15 23:30:26 2004 => Total Virus(es) Found: 0
Wed Dec 15 23:30:26 2004 => Total Disinfected Files: 0
Wed Dec 15 23:30:26 2004 => Total Files Renamed: 0
Wed Dec 15 23:30:26 2004 => Total Deleted Files: 0
Wed Dec 15 23:30:26 2004 => Total Errors: 326
Wed Dec 15 23:30:26 2004 => Time Elapsed: 00:42:00
Wed Dec 15 23:30:26 2004 => Virus Database Date: 2004/12/15
Wed Dec 15 23:30:26 2004 => Virus Database Count: 106710

Wed Dec 15 23:30:26 2004 => Scan Completed.

Wed Dec 15 23:40:21 2004 => Virus Database Date: 2004/12/15
Wed Dec 15 23:40:21 2004 => Virus Database Count: 106710


wie bekomme ich die errors noch weg

m2raider 16.12.2004 18:54
neuste logfile

Logfile of HijackThis v1.98.2
Scan saved at 18:53:38, on 16.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\etc\MSPX-32.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\NetPumper\NetPumperIEProxy.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe
C:\Programme\eDonkey2000\edonkey2000.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Mandy_Mäuschen\Eigene Dateien\ip verstecken\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Programme\Copernic Agent\CopernicAgentExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen mit Copernic Agent - C:\Programme\Copernic Agent\Web\SearchExt.htm
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.real.de/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094984330843
O17 - HKLM\System\CCS\Services\Tcpip\..\{B103F9CF-2F68-4E81-B885-0F45CC2C7382}: NameServer = 62.26.136.136 195.185.185.195
nachfrage ob jetzt das problem weg ist


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:09 Uhr.

Copyright ©2000-2026, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19