Trojaner-Board - Ich brauche Hilfe :((((

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Ich brauche Hilfe :(((( (https://www.trojaner-board.de/11787-brauche-hilfe.html)

Also es muss aufjedenfall so sein das ich Admin bin. Weil es bei mir nur ein User gibt und das bin ich.

@ extreme16

erstelle nochmal ein neues Hijack This Logfile und poste es.

geht net, wenn ich das programm starten will, kommt halt immer die gleich meldung die datei konnte nicht gefunden werden..... :(

Ja er hat geantwortet
Hier ist das Zitat von ihn :

Bitte speichere die angehängte Datei auf Deiner Festplatte, starte sie durch
Doppelklick und bestätige die Nachfrage mit "Ja".
Dann solltest Du auch Dateien wieder problemlos ausführen können!
Hinweis: Du musst als Administrator (also mit vollen Rechten) angemeldet
sein, damit das funktioniert.

Grüße, Jörg

--------------

So hab ne frage wie kann ich sehen wer bei mir der admin ist und mit vollen rechten angemeldet ist?

JJJJAAA !!

Es hat geklappt !!!
Ich weiß nicht wie ich mich bedanken soll^^.... Aber ich kann wieder Datein öffnen :)
Doch ich habe noch ne frage :
Ist jetzt die Malware auch gelöscht oder ist sie noch auf meinen Rechner?
Am besten schicke ich mal gleich hier eine Hijack Log file.

Edit : Hier ist Die Log File :
Logfile of HijackThis v1.99.0
Scan saved at 23:49:03, on 15.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b13463
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a13463
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a13463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b13463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a13463
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a13463
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.53/search.cgi?b13463
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ICQ Lite] D:\Downloads\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [scvhost] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [scvhost] C:\WINDOWS\scvhost.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Downloads\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Downloads\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O13 - WWW Prefix: http://69.50.191.50/1/?
O15 - Trusted Zone: *.bestsearch.cc
O15 - Trusted Zone: *.dapsol.com
O15 - Trusted Zone: *.bestsearch.cc (HKLM)
O15 - Trusted Zone: *.dapsol.com (HKLM)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

-----------------------------------

So hab noch ne Frage : sollte ich jetzt am besten nen Microsoft update auch auf diesen pc drauf machen, wäre das jetzt sinvoll?!

tut mir leid das ich spame, aber mir ist gerade was wichtiges noch aufgefallen :

Wenn ich Str + Alt + entf drücke und mir meine Prozesse anschaue sehe ich noch das 4 mal svchost prozesse laufen. Doch ich habe diese eine Datei eigentlich schon im Laufwerk C/Windows gelöscht....

@ extreme16

boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://69.50.191.53/search.cgi?b13463
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://69.50.191.53/search.cgi?a13463
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://69.50.191.53/search.cgi?a13463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://69.50.191.53/search.cgi?b13463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://69.50.191.53/search.cgi?a13463
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://69.50.191.53/search.cgi?a13463
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://69.50.191.53/search.cgi?b13463
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\ActiveX\AcroIEHelper.dll (file missing)
O4 - HKLM\..\Run: [scvhost] C:\WINDOWS\scvhost.exe
O13 - WWW Prefix: h**p://69.50.191.50/1/?
O15 - Trusted Zone: *.bestsearch.cc
O15 - Trusted Zone: *.dapsol.com
O15 - Trusted Zone: *.bestsearch.cc (HKLM)
O15 - Trusted Zone: *.dapsol.com (HKLM)

boote in den normalen Modus.

beende: scvhost.exe
lösche: C:\WINDOWS\scvhost.exe

Aktiviere die Systemwiederherstellung und boote neu.

Und nun mach Folgendes ... besuche diese Seite, mache was Lutz dort empfohlen hat .. halte Dich GENAU an die Anweisung ... dann dürfte einiges wieder funktionieren.

Wir machen dann aber noch etwas mit Dir ...

--> P.S. ein Dankeschön an Jörg für die tolle Hilfe.

hast doch immer noch so ein Zeugs drauf

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b13463

O4 - HKLM\..\Run: [scvhost] C:\WINDOWS\scvhost.exe

O13 - WWW Prefix: http://69.50.191.50/1/?

O15 - Trusted Zone: *.bestsearch.cc
O15 - Trusted Zone: *.dapsol.com
O15 - Trusted Zone: *.bestsearch.cc (HKLM)
O15 - Trusted Zone: *.dapsol.com (HKLM)

http://www.cosgan.net/images/smilie/sportlich/d040.gif

Zitat:

Zitat von extreme16

sehe ich noch das 4 mal svchost prozesse laufen

das ist in Ordnung! Nicht löschen! Achte auf die Schreibweise!!! "svchost" läuft mehrfach auf dem Rechner und ist in Ordnung.

[edit] .. eine deutsche Antwort zu der Frage, was die svchost.exe ist, musste ich erst suchen: svchost.exe [/edit]

@ hi Shadowsdance schau doch bitte hier mal mit vorbei. danke
gruß gigamail
http://www.trojaner-board.de/showthread.php?t=12171

http://www.cosgan.org/images/midi/engel/a040.gif

So hier ist die neuste LOG-File :)

Logfile of HijackThis v1.99.0
Scan saved at 00:35:12, on 16.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\sstray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Adobe\Reader\reader_sl.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Programme\firefox\firefox.exe
D:\Programme\HijackThis.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E7

18888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ICQ Lite] D:\Downloads\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [scvhost] C:\WINDOWS\scvhost.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Downloads\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Downloads\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Downloads\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Ich glaube er ist weg.
Ich habe eben nochmal kurz rechts klick auf internet explorer gemacht und hab geguckt was die startseite ist und was sah ich da : about:blank
Mit eurer Hilfe habe ich diese Malware tot bekommen.
Ich bedanke mich nochmal herzlich an gigamail , shadowdance und cidre und noch andere die mir geholfen haben. :aplaus: :aplaus: :daumenhoc :aplaus: :aplaus:
Aber noch eine frage habe ich :
Ist es jetzt sinvoll nen microsoft update jetzt rauf zu machen?!

ein Update ist immer gut!!

aber den hast Du noch immer nicht gelöscht

Zitat:

O4 - HKCU\..\Run: [scvhost] C:\WINDOWS\scvhost.exe

schau in windows ob die Datei dort ist ( nicht in C:\ windows\system32) das ist wichtig

Gruß Gigamail

:daumenhoc

@ extreme16

boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O3 - Toolbar: &Radio - {8E7
O4 - HKCU\..\Run: [scvhost] C:\WINDOWS\scvhost.exe

Boote in den normalen Modus.

beende:
scvhost.exe --> Schreibweise beachten!

lösche:
C:\WINDOWS\scvhost.exe

Aktiviere die Systemwiederherstellung und boote neu.

[edit] --> Danke @ Gigamail [/edit]

Zitat:

beende:
scvhost.exe --> Schreibweise beachten!

lösche:
C:\WINDOWS\scvhost.exe

So das konnte ich net ausführen weil beides nicht da war. D.h. in den prozessen waren die nicht da und im laufwerk c im ordner windows war die exe auch nicht da.