Trojaner-Board - Win32/Agent.AY

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Win32/Agent.AY - und nu??? (https://www.trojaner-board.de/11775-win32-agent-ay-nu.html)

Win32/Agent.AY - und nu???

Hallöchen Leute!
Bin aus lauter Verzweiflung auf euer Forum gestoßen, denn mein Virenscanner (NOD32, neuestes Update, Version 1.965) hat den o.g. Virus gleich zweimal auf meinem Rechner gefunden und kann ihn, Schreck laß nach, nicht löschen. Habe NOD auch schon ne Mail geschickt, aber wer weiß, wann/ob die sich melden, und ihr scheint hier alle richtig gut Ahnung zu haben, wie man sowas wieder weg bekommt.
Deshalb - BITTE HELFT MIR!!!
Liebe Grüße
die Genervte :confused:

Hallo,

poste bitte zuerst mal ein Logfile von Hijackthis

http://hijackthis.de/downloads/hijackthis_199.zip

Wo wird der Schädling genau gefunden;Pfadangabe bitte!

Gruss

Hallo, das ging ja schnell.
Hoffe, du kannst etwas mit unten stehender Info anfangen, habe das zip-File einfach nur laufen lassen ohen weitere Einstellungen.

Der Virenscanner meldet die Dinger unter
Datei C:\Programme\Gemeinsame Dateien\ltncnepf\lncljcdpjj\lfbbllrnc.exe - Win32/Agent.AY Trojaner.
und
Datei C:\Programme\Gemeinsame Dateien\ltncnepf\nnplhptd\tpbplppa.exe - Win32/Agent.AY Trojaner.

Logfile of HijackThis v1.99.0
Scan saved at 14:28:04, on 07.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nod32cc.exe
C:\WINNT\system32\nod32m2.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe
C:\Programme\Eset\amon.exe
C:\Programme\Eset\pop3scan.exe
C:\WINNT\Twain_32\SlimU2\HotKey.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\Date Manager\DateManager.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\PrecisionTime\PrecisionTime.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\ntvdm.exe
C:\T-ONLINE\BSW3\ToDuCAlC.EXE
c:\programme\adobe\acrobat 5.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\QuickZip\QuickZip.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\QZTEMP\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von freenet.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\programme\adobe\acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"
O4 - HKLM\..\Run: [Amon] "C:\Programme\Eset\amon.exe"
O4 - HKLM\..\Run: [NOD32POP3] "C:\Programme\Eset\pop3scan.exe"
O4 - HKLM\..\Run: [Nod32CC] "C:\WINNT\system32\nod32cc.exe" -DONTSHOW
O4 - HKLM\..\Run: [HotKey] C:\WINNT\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{74655CC0-69E6-44AB-B5DA-BF72E01395D6}: NameServer = 217.237.150.97 217.237.149.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{74655CC0-69E6-44AB-B5DA-BF72E01395D6}: NameServer = 217.237.150.97 217.237.149.161
O18 - Protocol: cdefs - {B5F329B4-2BBD-48F5-ADAF-9EAF2AFE37B3} - C:\Programme\Franzis\3D Eisenbahnplaner\monki.dll
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NOD32 Control Center Service - Unknown - C:\WINNT\system32\nod32cc.exe
O23 - Service: NOD32 Service - Unknown - C:\WINNT\system32\nod32m2.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Sieht nicht soo gut aus dein Rechner!

Du solltest einen escan im abesicherten Modus machen,http://www.trojaner-board.de/42731-escan-anleitung.html geh genau nach dieser Anleitung vor,und poste dann das Ergebnis!

Was heißt denn nicht sooo gut? Lade gerade den escan runter, dauert aber noch ein bißchen...

Ich vermute bei dir noch einige unschöne Dinge,das meinte ich,daher auch die Empfehlung mit dem escan,..also Scan abwarten,dann sehen wir weiter! :crazy:

Ich habe keine Datei c:\bases
Habe schon alle Dateien anzeigen lassen, finde die aber nicht.
Was nu???

@ Genervte

nicht so gut heißt, dass Du möglicherweise einige Viren auf dem System hast.

Erstelle einen neuen Ordner (=Verzeichnis) "bases" auf der Festplatte "C:" für den eScan und entpacke den eScan in diesen neuen Ordner! Der eScan löscht keine Viren, das wird - bei uns am TB - von Hand gemacht. Vergiss nicht den eScan online zu updaten und offline im abgesicherten Modus zu scannen ( siehe Anleitung!). Der Scan damit dauert ca 1 Stunde.

Poste beim eScan bitte Folgendes: wieviel Viren auf Deinem Rechner gefunden wurden, es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

Wie die Viren heißen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

SD

hm ja. es ist auch keine datei sondern ein verzeichnis gemeint. erstelle also das verzeichnis bases auf c: und entpacke escan dorthin.

Das mit der c:\bases war schneller geschrieben als gedacht, aber danke für die Tips.
Mit dem abgesicherten Modus habe ich in der Anleitung nicht gefunden, werde ich jetzt aber machen und deshalb verabschiede ich mich erst mal, wenn der Scan eine Stunde dauert. Muß ja nicht T-Online unnötig finanzieren...
Angesicherter Modus geht mit F8 beim Hochfahren, oder???
Danke erst einmal, ich meldem ich dann wieder...

Zitat:

Zitat von Genervte

Ja,mehrmals F8 drücken,den passt des :aplaus:

@ Genervte

wenn Du hier: eScan nachliest, wirst Du unweigerlich den Link zum abgesicherten Modus finden .. *Brille rüberreicht* und einen weiteren Link zum "abgesicherten Modus".. ;-)

Weisst Du womit Du den eScan updaten und womit Du ihn starten musst?

SD

Ich bin mal frech und widersprechen den Kollegen ein wenig, IMO sieht das Log eigentlich nicht soooo schlimm aus, ich sehe aus Adware nix.

Precision Time/Gator deinstallieren, im abgesicherten Modus fixen und die Dateien löschen:

O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe

Alles natürlich vorbehaltlich des E-Scan-Ergebnisses, ein Browserwechsel zu Opera oder Firefox wäre auch empfehlenswert (dort kann der nämliche Downloader keinen Schaden anrichten) und außerdem solltest du kritischer bei der Installation von dirversen programmen und evtl. auch deinen Browsereinstellungen sein.
Tips:

http://www.mathematik.uni-marburg.de...ompromise.html

http://www.forum-3dcenter.org/vbulle...d.php?t=163074

Alsooo, der escan ist durch, und hier kommt das Ergebnis...
Fri Jan 07 16:36:27 2005 => Total Files Scanned: 53025
Fri Jan 07 16:36:27 2005 => Total Virus(es) Found: 31

Fri Jan 07 15:16:45 2005 => File C:\PROGRA~1\DATEMA~1\DATEMA~1.EXE infected by "not-a-virus:AdWare.Gator.4116" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:16:45 2005 => File C:\PROGRA~1\GEMEIN~1\CMEII\CMEIIAPI.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:16:45 2005 => File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe infected by "not-a-virus:AdWare.Gator.6034" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:16:45 2005 => File c:\PROGRA~1\GEMEIN~1\cmeii\gappmgr.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:16:46 2005 => File c:\PROGRA~1\GEMEIN~1\cmeii\GCONTR~1.DLL infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:16:46 2005 => File c:\PROGRA~1\GEMEIN~1\cmeii\gdwldeng.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:16:46 2005 => File C:\PROGRA~1\GEMEIN~1\CMEII\GIocl.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:16:46 2005 => File C:\PROGRA~1\GEMEIN~1\CMEII\GIOCLC~1.DLL infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:16:46 2005 => File c:\PROGRA~1\GEMEIN~1\cmeii\gmtproxy.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:16:46 2005 => File C:\PROGRA~1\GEMEIN~1\CMEII\GObjs.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:16:46 2005 => File C:\PROGRA~1\GEMEIN~1\CMEII\GStore.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:16:46 2005 => File c:\PROGRA~1\GEMEIN~1\cmeii\GSTORE~1.DLL infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:16:46 2005 => File C:\PROGRA~1\GEMEIN~1\CMEII\Gtools.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:16:46 2005 => File C:\PROGRA~1\GEMEIN~1\GMT\EGGCEN~1.DLL infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:16:46 2005 => File C:\PROGRA~1\GEMEIN~1\GMT\EGIEEN~1.DLL infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:16:46 2005 => File C:\PROGRA~1\GEMEIN~1\GMT\EGIEPR~1.DLL infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:16:47 2005 => File C:\PROGRA~1\GEMEIN~1\GMT\EGNSEN~1.DLL infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:16:47 2005 => File C:\PROGRA~1\GEMEIN~1\GMT\GatorRes.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:16:47 2005 => File C:\PROGRA~1\GEMEIN~1\GMT\GMT.exe infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:17:12 2005 => File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe infected by "not-a-virus:AdWare.Gator.6034" Virus. Action Taken: No Action Taken.

Fri Jan 07 15:32:33 2005 => File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe infected by "not-a-virus:AdWare.Gator.6034" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:40:49 2005 => File C:\Programme\Date Manager\DateManager.exe infected by "not-a-virus:AdWare.Gator.4116" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:41:41 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\apps\DateManager\datemanager2102.zip infected by "not-a-virus:AdWare.Gator.4116" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:41:41 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\apps\DateManager\InstallDateManager.exe infected by "not-a-virus:AdWare.Gator.4116" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:41:44 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:41:45 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:41:45 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GController.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:41:45 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:41:45 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:41:45 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:41:45 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:41:45 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GObjs.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:41:45 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:41:45 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:41:45 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:41:47 2005 => File C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:41:47 2005 => File C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:41:48 2005 => File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:41:48 2005 => File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:41:48 2005 => File C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:41:48 2005 => File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe infected by "not-a-virus:AdWare.Gator.6034" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:41:49 2005 => File C:\Programme\Gemeinsame Dateien\GMT\GMT.exe infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:41:49 2005 => File C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:41:49 2005 => File C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:43:05 2005 => File C:\Programme\Gemeinsame Dateien\ltncnepf\lncljcdpjj\lfbbllrnc.exe infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
Fri Jan 07 15:43:05 2005 => File C:\Programme\Gemeinsame Dateien\ltncnepf\nnplhptd\tpbplppa.exe infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
Fri Jan 07 16:11:35 2005 => File C:\T-Online\EMAIL2\33GCO97Z.IMP\ABFALL.DAT infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
Fri Jan 07 16:12:41 2005 => File C:\T-Online\EMAIL2\33GCO97Z.IMP\EINGANG.BAK infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.

Und danke für die Brille, Shadowdance, aber ganz blind bin ich dann doch nicht, das steht dann nämisch im Text drunter...

Was soll ich jetzt machen? Alles per Hand löschen im abgesicherten Modus?? Komischerweise ist der eine komische Trojaner, der vom NOD angegeben wird, gar nicht mit dabei... Hab aber alles so angekreuzt, wies in der Anleitung angegeben war...

@ Genervte

besuche mal diese Seite: Entfernungestools, lade Dir "Ad-Aware 6 Personal" und "Spybot-Search & Destroy 1.3" runter, scanne damit Deinen Rechner und lass alle Probleme beheben. Das dürfte einfacher sein, als wenn Du alle Adware-Einträge von Hand löscht.

Melde Dich dann wieder mit einem neuen Hijack This Logfile.

SD

Hallo, da bin ich wieder.
Nach endlos langer Herunterladerei und Installiererei sagt wenigstens mein Virenscanner nichts mehr, was ich jetzt erst einmal als Erfolg ansehen würde. Der Agent.ay wird nicht mehr gefunden, was jetzt aber mit dem "I-Worm.Sober.i" Virus passiert ist, weiß ich nicht.
Anbei jetzt auch noch der letzte Hijackthislog, bitte gebt mir bescheid, was ich jetzt noch machen soll, bevor der Nervenzusammenbruch kommt...

Logfile of HijackThis v1.99.0
Scan saved at 22:28:02, on 07.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nod32cc.exe
C:\WINNT\system32\nod32m2.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe
C:\Programme\Eset\amon.exe
C:\Programme\Eset\pop3scan.exe
C:\WINNT\Twain_32\SlimU2\HotKey.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programme\QuickZip\QuickZip.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\QZTEMP\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von freenet.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\programme\adobe\acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"
O4 - HKLM\..\Run: [Amon] "C:\Programme\Eset\amon.exe"
O4 - HKLM\..\Run: [NOD32POP3] "C:\Programme\Eset\pop3scan.exe"
O4 - HKLM\..\Run: [Nod32CC] "C:\WINNT\system32\nod32cc.exe" -DONTSHOW
O4 - HKLM\..\Run: [HotKey] C:\WINNT\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O18 - Protocol: cdefs - {B5F329B4-2BBD-48F5-ADAF-9EAF2AFE37B3} - C:\Programme\Franzis\3D Eisenbahnplaner\monki.dll
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NOD32 Control Center Service - Unknown - C:\WINNT\system32\nod32cc.exe
O23 - Service: NOD32 Service - Unknown - C:\WINNT\system32\nod32m2.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

http://securityresponse.symantec.com...r/FixSober.exe runterladen und im abgesicherten modus ausführen.wenn das prog fertig ist, dann gehe wieder in den normalen modus und berichte ob der virus noch angezeigt wird.

Hallo!
Der wurde ja auch nur nach dem escan angezeigt, ansonsten nicht. Vielleicht isser ja auch weg??? Oder soll ich das auf jeden Fall erst mal runterladen und dann wieder den escan drüberjagen nach Installation und Säuberung im abgesicherten Modus?
Bitte noch mal kurz bescheid geben, können die besagten Datein nicht auch einfach so gelöscht werden??? Oder irgendwie anders ersetzt werden? Kenn mich mit den .bak und .dat nicht so...
:confused:

also.. lade erstmal das removaltool runter und führe es im abgesicherten modus runter. man weiß nie ob der sober weg ist. dann kannste nochma escan drüberjagen lassen, ob net noch irgendwas übrig geblieben ist. du willst ja schließlich ein sauberes system haben. :)

Vielen lieben Dank erst einmal. Den Erfolg werde ich dann aber erst morgen zu berichten haben, habe jetzt den Kaffee auf :crazy:
Melde mich dann morgen noch einmal, hoffe, ich finde meinen Beitrag dann noch einmal...
Gute Nacht und schlaft gut, und nicht von bösen Viren und sonem Gezeugse träumen, hihi...

Hi!
Das Fixsober-Programm hat wildgescannt und - NIX gefunden. Dafür aber der Escan:
File C:\T-Online\EMAIL2\33GCO97Z.IMP\ABFALL.DAT infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
File C:\T-Online\EMAIL2\33GCO97Z.IMP\EINGANG.BAK infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
Und jetzt???
Krieg noch die Krise, werde hier im Forum auch noch mal rumsuchen, ob ich was finde, würde mich aber genauso über Infos freuen...

@Genervte
lösche die dateien in den abgesicherten modus
chaosman