Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Hilfe: Trojaner ohne Ende auf der Platte (https://www.trojaner-board.de/12595-hilfe-trojaner-ohne-ende-platte.html)

Jogi63 22.01.2005 21:09
Hilfe: Trojaner ohne Ende auf der Platte
 
:crazy: Wer kann mir helfen?

1. Mein IE wird entführt: www.onemoresearch.net kommt immer wieder als Startseite, obwohl sie nicht eingerichtet ist.

2. Shopping wizzard, home search assistant und search extender sind als Programme installiert und ich kann sie nicht löschen.

3. Mehrere Antivirenprogramme können die Trojaner ( Iefeat-U, D-Loader-Y, Iefeat-Gen) nicht löschen, vermutlich weil ihre Trägerdateien vom System benötigt werden.

1000 Dank im voraus.

Habe ein Logfile of HijackThis v1.99.0
Scan saved at 20:50:15, on 22.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Sophos\Control Center\LMSessn.exe
C:\Programme\Microsoft SQL Server\MSSQL$SOPHOS\Binn\sqlservr.exe
C:\Programme\Sophos\Control Center\Sdbnsrvc.exe
C:\Programme\Sophos\Control Center\Library\bin\SchdSrvc.exe
C:\Programme\Sophos\Remote Management System\RouterNT.exe
C:\Programme\Sophos\Control Center\CertificationManagerServiceNT.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sophos\Sophos Anti-Virus\SWEEPSRV.SYS
C:\Programme\Sophos\Remote Management System\ManagementAgentNT.exe
C:\Programme\Sophos\Remote Management System\ALCAgent.exe
C:\WINDOWS\appqe.exe
C:\Programme\Sophos\AutoUpdate\almon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Pinnacle\Pinnacle PCTV Sat\Remote\Remoterm.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe
C:\Programme\T-Eumex KommunikationsCenter\sndml.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\System32\wisptis.exe
C:\Programme\Sophos\Sophos Anti-Virus\wsweepnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\downloads\Sicherheit\hijack\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.popupsearches.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jxzne.dll/sp.html#75034
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jxzne.dll/sp.html#75034
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jxzne.dll/sp.html#75034
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jxzne.dll/sp.html#75034
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jxzne.dll/sp.html#75034
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jxzne.dll/sp.html#75034
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jxzne.dll/sp.html#75034
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E5DA506-8E62-2871-824D-057117148321} - C:\WINDOWS\winwm.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\Pinnacle PCTV Sat\Remote\Remoterm.exe
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [SetIcon] C:\Program Files\SMSC\Seticon.exe
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [strtfx] "C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe"
O4 - HKLM\..\Run: [sndml] "C:\Programme\T-Eumex KommunikationsCenter\sndml.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\System32\cirotsog.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Pinnacle PCTV Scheduler.lnk = C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095247678340
O23 - Service: Sophos AutoUpdate Service - Unknown - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Sophos Session Manager - TODO: <Company name> - C:\Programme\Sophos\Control Center\LMSessn.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Sophos Database Notification Service - Sophos Plc - C:\Programme\Sophos\Control Center\Sdbnsrvc.exe
O23 - Service: Sophos Enterprise Manager Scheduler - Unknown - C:\Programme\Sophos\Control Center\Library\bin\SchdSrvc.exe
O23 - Service: Sophos Agent - SOPHOS Plc - C:\Programme\Sophos\Remote Management System\ManagementAgentNT.exe
O23 - Service: Sophos AutoUpdate Agent - Unknown - C:\Programme\Sophos\Remote Management System\ALCAgent.exe
O23 - Service: Sophos Message Router - SOPHOS Plc - C:\Programme\Sophos\Remote Management System\RouterNT.exe
O23 - Service: Sophos SBE Certification Manager - SOPHOS Plc - C:\Programme\Sophos\Control Center\CertificationManagerServiceNT.exe
O23 - Service: Sophos SBE ManagementService - Sophos Plc - C:\Programme\Sophos\Control Center\SbeMss.exe
O23 - Service: Sophos Anti-Virus - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SWEEPSRV.SYS
O23 - Service: Network Security Service (NSS) - Unknown - C:\WINDOWS\system32\sysgq32.exe (file missing)

Chris14 22.01.2005 21:23
1.escan
-lade dir escan runter und gehe genau nach dieser anleitung vor

2.einträge löschen
-fixe mit hijackthis diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.popupsearches.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jxzne.dll/sp.html#75034
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jxzne.dll/sp.html#75034
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jxzne.dll/sp.html#75034
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jxzne.dll/sp.html#75034
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jxzne.dll/sp.html#75034
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jxzne.dll/sp.html#75034
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jxzne.dll/sp.html#75034
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {7E5DA506-8E62-2871-824D-057117148321} - C:\WINDOWS\winwm.dll
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)
O23 - Service: Network Security Service (NSS) - Unknown - C:\WINDOWS\system32\sysgq32.exe (file missing)
-mach auch das was dort steht um die O15-Einträge zu löschen.

3.dateien löschen
-lösche die Datei appqe.exe im ordner c:\windows
-lösche die Datei winwm.dll im ordner c:\windows
-lösche natürlich auch alle von escan beanstandeten dateien (alle infected)
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues hijackthis log

Jogi63 23.01.2005 03:15
:daumenhoc Danke Chris14, habe deinen Vorschlag durchgeführt.
Allerdings nicht nur mit escan, sondern zusätzlich mit Ad-Aware, Spybot und Sophos. Alle Programme haben ganz verschiedene Viren gefunden.
Im Moment läuft alles unauffällig und schnell.
Klasse jogi63.

Hier siehst du das neue hijackthis:

Logfile of HijackThis v1.99.0
Scan saved at 03:08:51, on 23.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Pinnacle\Pinnacle PCTV Sat\Remote\Remoterm.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe
C:\Programme\T-Eumex KommunikationsCenter\sndml.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Sophos\Control Center\LMSessn.exe
C:\Programme\Microsoft SQL Server\MSSQL$SOPHOS\Binn\sqlservr.exe
C:\Programme\Sophos\Control Center\Sdbnsrvc.exe
C:\Programme\Sophos\Control Center\Library\bin\SchdSrvc.exe
C:\Programme\Sophos\Remote Management System\RouterNT.exe
C:\Programme\Sophos\Control Center\CertificationManagerServiceNT.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sophos\Sophos Anti-Virus\SWEEPSRV.SYS
C:\Programme\Sophos\Remote Management System\ManagementAgentNT.exe
C:\Programme\Sophos\Remote Management System\ALCAgent.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\BHODemon 2\BHODemon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\downloads\Sicherheit\hijack\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jxzne.dll/sp.html#75034
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jxzne.dll/sp.html#75034
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jxzne.dll/sp.html#75034
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jxzne.dll/sp.html#75034
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jxzne.dll/sp.html#75034
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\Pinnacle PCTV Sat\Remote\Remoterm.exe
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [strtfx] "C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe"
O4 - HKLM\..\Run: [sndml] "C:\Programme\T-Eumex KommunikationsCenter\sndml.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2\BHODemon.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Pinnacle PCTV Scheduler.lnk = C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095247678340
O23 - Service: Sophos AutoUpdate Service - Unknown - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Sophos Session Manager - TODO: <Company name> - C:\Programme\Sophos\Control Center\LMSessn.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Sophos Database Notification Service - Sophos Plc - C:\Programme\Sophos\Control Center\Sdbnsrvc.exe
O23 - Service: Sophos Enterprise Manager Scheduler - Unknown - C:\Programme\Sophos\Control Center\Library\bin\SchdSrvc.exe
O23 - Service: Sophos Agent - SOPHOS Plc - C:\Programme\Sophos\Remote Management System\ManagementAgentNT.exe
O23 - Service: Sophos AutoUpdate Agent - Unknown - C:\Programme\Sophos\Remote Management System\ALCAgent.exe
O23 - Service: Sophos Message Router - SOPHOS Plc - C:\Programme\Sophos\Remote Management System\RouterNT.exe
O23 - Service: Sophos SBE Certification Manager - SOPHOS Plc - C:\Programme\Sophos\Control Center\CertificationManagerServiceNT.exe
O23 - Service: Sophos SBE ManagementService - Sophos Plc - C:\Programme\Sophos\Control Center\SbeMss.exe
O23 - Service: Sophos Anti-Virus - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SWEEPSRV.SYS

Chris14 23.01.2005 10:32
Hast du alles gemacht was da stand? du solltest ja die dateien die escan gefunden hat, löschen und ja auch posten. (hinweis: escan löscht die dateien nicht, sondern erkennt sie nur)
ich seh da noch n paar einträge die nicht passen, weil die dateien nicht gelöscht wurden.
also fixe im abgesicherten modus diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jxzne.dll/sp.html#75034
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jxzne.dll/sp.html#75034
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jxzne.dll/sp.html#75034
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jxzne.dll/sp.html#75034
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jxzne.dll/sp.html#75034
R3 - Default URLSearchHook is missing
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
und wie schon gesagt, weiterhin im abgesicherten modus die von escan gefundenen dateien löschen
dann gehe in den normalen modus und poste ein hijackthis log.

Jogi63 23.01.2005 11:58
Hallo Chris14,
ja habe alles gelöscht wie du es geraten hast. Habe dir wohl eine falsche hijackthis-log gepostet. Hier eine, die ich gerade erstellt habe: (weiter unten findest du die Liste vom escan):

Logfile of HijackThis v1.99.0
Scan saved at 11:36:57, on 23.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\downloads\Sicherheit\hijack\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.securityiguard.com/buy
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\Pinnacle PCTV Sat\Remote\Remoterm.exe
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [strtfx] "C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe"
O4 - HKLM\..\Run: [sndml] "C:\Programme\T-Eumex KommunikationsCenter\sndml.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Pinnacle PCTV Scheduler.lnk = C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095247678340
O23 - Service: Sophos AutoUpdate Service - Unknown - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Sophos Session Manager - TODO: <Company name> - C:\Programme\Sophos\Control Center\LMSessn.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Sophos Database Notification Service - Sophos Plc - C:\Programme\Sophos\Control Center\Sdbnsrvc.exe
O23 - Service: Sophos Enterprise Manager Scheduler - Unknown - C:\Programme\Sophos\Control Center\Library\bin\SchdSrvc.exe
O23 - Service: Sophos Agent - SOPHOS Plc - C:\Programme\Sophos\Remote Management System\ManagementAgentNT.exe
O23 - Service: Sophos AutoUpdate Agent - Unknown - C:\Programme\Sophos\Remote Management System\ALCAgent.exe
O23 - Service: Sophos Message Router - SOPHOS Plc - C:\Programme\Sophos\Remote Management System\RouterNT.exe
O23 - Service: Sophos SBE Certification Manager - SOPHOS Plc - C:\Programme\Sophos\Control Center\CertificationManagerServiceNT.exe
O23 - Service: Sophos SBE ManagementService - Sophos Plc - C:\Programme\Sophos\Control Center\SbeMss.exe
O23 - Service: Sophos Anti-Virus - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SWEEPSRV.SY

Jogi63 23.01.2005 11:59
Hallo Chris14,

hier noch die Liste vom escan:
Hier ist die mit escan erstellte Liste von "infected":
Sat Jan 22 21:49:25 2005 => **********************************************************
Sat Jan 22 21:49:25 2005 => eScan AntiVirus Toolkit Utility.
Sat Jan 22 21:49:25 2005 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Sat Jan 22 21:49:25 2005 => **********************************************************
Sat Jan 22 21:49:25 2005 => Version 4.8.6 (C:\DOKUME~1\Besitzer\LOKALE~1\Temp\mwavscan.com)
Sat Jan 22 21:49:25 2005 => Log File: C:\DOKUME~1\Besitzer\LOKALE~1\Temp\MWAV.LOG
Sat Jan 22 21:49:25 2005 => Latest Date of files inside MWAV: 21 Jan 2005 06:01:03.

Sat Jan 22 21:51:24 2005 => File C:\WINDOWS\winwm.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Sat Jan 22 21:51:27 2005 => File C:\WINDOWS\system32\iekh.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Sat Jan 22 21:51:38 2005 => File C:\WINDOWS\jfmku.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.
Sat Jan 22 21:51:38 2005 => File C:\WINDOWS\jxzne.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.
Sat Jan 22 21:51:41 2005 => File C:\WINDOWS\winwm.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Sat Jan 22 21:53:07 2005 => File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\AAWTMP\C261421\3205F2\Beyond.class infected by "Trojan-Downloader.Java.OpenConnection.u" Virus. Action Taken: No Action Taken.
Sat Jan 22 21:53:07 2005 => File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\AAWTMP\C261421\3205F2\VB.class infected by "Trojan.Java.ClassLoader.z" Virus. Action Taken: No Action Taken.
Sat Jan 22 21:53:21 2005 => File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\AAWTMP\C261421\6863\Beyond.class infected by "Trojan-Downloader.Java.OpenConnection.u" Virus. Action Taken: No Action Taken.
Sat Jan 22 21:53:21 2005 => File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\AAWTMP\C261421\6863\VB.class infected by "Trojan.Java.ClassLoader.z" Virus. Action Taken: No Action Taken.
Sat Jan 22 21:53:30 2005 => File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\THI132D.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Sat Jan 22 21:53:30 2005 => File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\THI1403.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Sat Jan 22 21:53:30 2005 => File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\THI16F.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Sat Jan 22 21:53:30 2005 => File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\THI17EC.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Sat Jan 22 21:53:30 2005 => File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\THI1E33.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Sat Jan 22 21:53:30 2005 => File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\THI2452.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Sat Jan 22 21:53:30 2005 => File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\THI383F.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Sat Jan 22 21:53:30 2005 => File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\THI3CA.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Sat Jan 22 21:53:30 2005 => File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\THI5498.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Sat Jan 22 21:53:30 2005 => File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\THI5956.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Sat Jan 22 21:53:31 2005 => File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\THI5DC4.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Sat Jan 22 21:53:31 2005 => File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\THI6885.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Sat Jan 22 21:53:31 2005 => File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\THI6EB5.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Sat Jan 22 21:53:31 2005 => File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\THI767A.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Sat Jan 22 21:55:53 2005 => File C:\DOKUME~1\Besitzer\LOKALE~1\TEMPOR~1\Content.IE5\STIJK9YN\thnall1b[1].exe infected by "Trojan-Dropper.Win32.Small.nq" Virus. Action Taken: No Action Taken.
Sat Jan 22 21:58:41 2005 => File C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\downloads\Sicherheit\hijack\hijackthis\backups\backup-20050122-214650-994.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
infected by "Trojan-Downloader.Java.OpenConnection.u" Virus. Action Taken: No Action Taken.
Sat Jan 22 22:01:49 2005 => File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\AAWTMP\C261421\3205F2\VB.class infected by "Trojan.Java.ClassLoader.z" Virus. Action Taken: No Action Taken.
Sat Jan 22 22:02:03 2005 => File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\AAWTMP\C261421\6863\Beyond.class infected by "Trojan-Downloader.Java.OpenConnection.u" Virus. Action Taken: No Action Taken.
Sat Jan 22 22:02:03 2005 => File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\AAWTMP\C261421\6863\VB.class infected by "Trojan.Java.ClassLoader.z" Virus. Action Taken: No Action Taken.
Sat Jan 22 22:02:11 2005 => File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\THI132D.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.

Sat Jan 22 22:02:11 2005 => File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\THI1403.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.

Sat Jan 22 22:02:11 2005 => File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\THI16F.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.

Sat Jan 22 22:02:11 2005 => File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\THI17EC.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.

Sat Jan 22 22:02:11 2005 => File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\THI1E33.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.


Sat Jan 22 22:02:11 2005 => File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\THI2452.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.


Sat Jan 22 22:02:12 2005 => File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\THI383F.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.


Sat Jan 22 22:02:12 2005 => File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\THI3CA.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.


Sat Jan 22 22:02:12 2005 => File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\THI5498.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.

Sat Jan 22 22:02:12 2005 => File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\THI5956.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.

Sat Jan 22 22:02:12 2005 => File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\THI5DC4.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.


Sat Jan 22 22:02:12 2005 => File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\THI6885.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.


Sat Jan 22 22:02:12 2005 => File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\THI6EB5.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.

Sat Jan 22 22:02:12 2005 => File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\THI767A.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.



Sat Jan 22 22:04:26 2005 => Total Files Scanned: 25648
Sat Jan 22 22:04:26 2005 => Total Virus(es) Found: 43
Sat Jan 22 22:04:26 2005 => Total Disinfected Files: 0
Sat Jan 22 22:04:26 2005 => Total Files Renamed: 0
Sat Jan 22 22:04:26 2005 => Total Deleted Files: 0
Sat Jan 22 22:04:26 2005 => Total Errors: 46
Sat Jan 22 22:04:26 2005 => Time Elapsed: 00:13:40
Sat Jan 22 22:04:26 2005 => ***** Scanning complete. *****
Sat Jan 22 22:04:26 2005 => Virus Database Date: 2005/01/21
Sat Jan 22 22:04:26 2005 => Virus Database Count: 116178

Sat Jan 22 22:04:26 2005 => Scan Completed.

Sat Jan 22 22:04:54 2005 => Virus Database Date: 2005/01/21
Sat Jan 22 22:04:54 2005 => Virus Database Count: 116178
Sat Jan 22 22:06:36 2005 => AV Library Unloaded (3)...

Mist ist denn noch etwas nicht ok?

Grüße und Dank Jogi63

Rene-gad 23.01.2005 12:12
Hallo Jogi63
Bitte PC platt machen, neu aufsetzen: http://faq.underflow.de/#SECTION000120000000000000000
http://www.trojaner-board.de/showthread.php?t=12154


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:04 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131