Trojaner-Board - Habe 3 Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Habe 3 Trojaner (https://www.trojaner-board.de/16796-habe-3-trojaner.html)

hallo leute,

dies ist mein erste beitrag hierund ich hoffe ihr könnt mir helfen.
ich hab mir folgende Viren bzw Würmer eingefangen:
appyo.exe
darkt.dll
ntbg.exe

leider hab ich keine chance sie weg zu bekommen. sei es mir hijackthis, Norton, Antivir usw... nichts geht mehr.
selbst nen online scan hats nich geschafft.

ich hoffe ihr könnt mir helfen.
hab nämlich kein bock mein system zu plätten. danke schonmal
mfg cabriofreak

Hallo,

Hast du schon mal CWShredder versucht CWShredder 2.14

http://www.google.de/search?hl=de&q=...a=lr%3Dlang_de

;)

so ich habs durch gesucht...
hab folgenden report bekommen:
weiß nich was ich damit machen muß. kann ich mit dem prog auch was weg bekommen?

Found CWS.HomeSearch

**** Run Keys ****

RUN: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
RUN: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
RUN: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
RUN: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
RUN: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
RUN: [ntbg.exe] C:\WINDOWS\ntbg.exe

**** Browser Helper Objects ****

BHO: [AcroIEHlprObj Class] C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
BHO: [AcroIEHlprObj Class] C:\WINDOWS\system32\apipk32.dll
BHO: [CNavExtBho Class] C:\Programme\Norton AntiVirus\NavShExt.dll

**** IE Toolbars ****

TOOLBAR: [&Radio] C:\WINDOWS\System32\msdxm.ocx
TOOLBAR: [Norton AntiVirus] C:\Programme\Norton AntiVirus\NavShExt.dll

**** IE Extensions ****

IEExt: []
IEExt: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe
IEExt: [@shdoclc.dll,-866] C:\Programme\ICQLite\ICQLite.exe

**** Hosts File Entries ****

**** IE Settings ****

Default Page: about:blank
Default Search: res://C:\WINDOWS\system32\darkt.dll/sp.html#93256
Local Page: C:\WINDOWS\System32\blank.htm
Search Bar: res://C:\WINDOWS\system32\darkt.dll/sp.html#93256
Search Page: res://C:\WINDOWS\system32\darkt.dll/sp.html#93256

**** IE Context Menu (Right click) ****

IEContext: [&ICQ Toolbar Search] res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IEContext: [Nach Microsoft &Excel exportieren] res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

**** Layered Service Providers ****

LSP: MSAFD Tcpip [TCP/IP]
LSP: MSAFD Tcpip [UDP/IP]
LSP: RSVP UDP Service Provider
LSP: RSVP TCP Service Provider
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{4444DCDF-43A6-41A7-A87B-F92B4C1CD793}] SEQPACKET 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{4444DCDF-43A6-41A7-A87B-F92B4C1CD793}] DATAGRAM 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CB7A5846-FBE3-478E-95F5-E6A527EB24D9}] SEQPACKET 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CB7A5846-FBE3-478E-95F5-E6A527EB24D9}] DATAGRAM 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{23C956DF-4C77-498C-955C-878143171AC1}] SEQPACKET 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{23C956DF-4C77-498C-955C-878143171AC1}] DATAGRAM 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{7D9DCE9C-CBC8-415E-B7D6-EC6F7CE62C10}] SEQPACKET 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{7D9DCE9C-CBC8-415E-B7D6-EC6F7CE62C10}] DATAGRAM 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{044B899A-46FC-4EE4-860F-4218EDFE8E11}] SEQPACKET 4
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{044B899A-46FC-4EE4-860F-4218EDFE8E11}] DATAGRAM 4

**** Blocked Control Panel Items ****

BLOCKED: [ncpa.cpl] No
BLOCKED: [odbccp32.cpl] No

**** Downloaded Program Files ****

{3334504D-9980-0010-8000-00AA00389B71} [http://download.microsoft.com/downlo...D/mp43dmo.CAB]
{56336BCB-3D8A-11D6-A00B-0050DA18DE71} [http://software-dl.real.com/2407d446...xIE601_de.cab] C:\WINDOWS\Downloaded Program Files\RdxIE.dll
{6414512B-B978-451D-A0D8-FCFDF33E833C} [http://v5.windowsupdate.microsoft.co...1109070278770]
{8AD9C840-044E-11D1-B3E9-00805F499D93} [http://java.sun.com/update/1.5.0/jin...dows-i586.cab]
{CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} [http://java.sun.com/update/1.5.0/jin...dows-i586.cab]

**** Windows Services ****

[ 11Fßä#·ºÄÖ`I] "C:\WINDOWS\system32\appyo32.exe" /s
[Alerter] %SystemRoot%\System32\svchost.exe -k LocalService
[ALG] %SystemRoot%\System32\alg.exe
[AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs
[AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[BITS] %SystemRoot%\System32\svchost.exe -k netsvcs
[Browser] %SystemRoot%\System32\svchost.exe -k netsvcs
[ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
[ccPwdSvc] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe"
[ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
[cisvc] C:\WINDOWS\System32\cisvc.exe
[ClipSrv] %SystemRoot%\system32\clipsrv.exe
[COMSysApp] C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
[CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[Dhcp] %SystemRoot%\System32\svchost.exe -k netsvcs
[dmadmin] %SystemRoot%\System32\dmadmin.exe /com
[dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs
[Dnscache] %SystemRoot%\System32\svchost.exe -k NetworkService
[ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[Eventlog] %SystemRoot%\system32\services.exe
[EventSystem] C:\WINDOWS\System32\svchost.exe -k netsvcs
[FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs
[helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs
[ImapiService] C:\WINDOWS\System32\imapi.exe
[lanmanserver] %SystemRoot%\System32\svchost.exe -k netsvcs
[lanmanworkstation] %SystemRoot%\System32\svchost.exe -k netsvcs
[LmHosts] %SystemRoot%\System32\svchost.exe -k LocalService
[Messenger] %SystemRoot%\System32\svchost.exe -k netsvcs
[mnmsrvc] C:\WINDOWS\System32\mnmsrvc.exe
[MSDTC] C:\WINDOWS\System32\msdtc.exe
[MSIServer] C:\WINDOWS\System32\msiexec.exe /V
[navapsvc] "C:\Programme\Norton AntiVirus\navapsvc.exe"
[NetDDE] %SystemRoot%\system32\netdde.exe
[NetDDEdsdm] %SystemRoot%\system32\netdde.exe
[Netlogon] %SystemRoot%\System32\lsass.exe
[Netman] %SystemRoot%\System32\svchost.exe -k netsvcs
[Nla] %SystemRoot%\System32\svchost.exe -k netsvcs
[NProtectService] C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
[NtLmSsp] %SystemRoot%\System32\lsass.exe
[NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[PlugPlay] %SystemRoot%\system32\services.exe
[PolicyAgent] %SystemRoot%\System32\lsass.exe
[ProtectedStorage] %SystemRoot%\system32\lsass.exe
[RasAuto] %SystemRoot%\System32\svchost.exe -k netsvcs
[RasMan] %SystemRoot%\System32\svchost.exe -k netsvcs
[RDSessMgr] C:\WINDOWS\system32\sessmgr.exe
[RemoteAccess] %SystemRoot%\System32\svchost.exe -k netsvcs
[RemoteRegistry] %SystemRoot%\system32\svchost.exe -k LocalService
[RpcLocator] %SystemRoot%\System32\locator.exe
[RpcSs] %SystemRoot%\system32\svchost -k rpcss
[RSVP] %SystemRoot%\System32\rsvp.exe
[SamSs] %SystemRoot%\system32\lsass.exe
[SAVScan] C:\Programme\Norton AntiVirus\SAVScan.exe
[SBService] C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
[SCardDrv] %SystemRoot%\System32\SCardSvr.exe
[SCardSvr] %SystemRoot%\System32\SCardSvr.exe
[Schedule] %SystemRoot%\System32\svchost.exe -k netsvcs
[seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs
[SENS] %SystemRoot%\system32\svchost.exe -k netsvcs
[SharedAccess] %SystemRoot%\System32\svchost.exe -k netsvcs
[ShellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs
[SNDSrvc] C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
[Spooler] %SystemRoot%\system32\spoolsv.exe
[srservice] %SystemRoot%\System32\svchost.exe -k netsvcs
[SSDPSRV] %SystemRoot%\System32\svchost.exe -k LocalService
[stisvc] %SystemRoot%\System32\svchost.exe -k imgsvc
[SwPrv] C:\WINDOWS\System32\dllhost.exe /Processid:{7D97129E-C5FB-4E3B-9BF0-B6996E3952B5}
[SymWSC] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
[SysmonLog] %SystemRoot%\system32\smlogsvc.exe
[TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[TermService] %SystemRoot%\System32\svchost.exe -k netsvcs
[Themes] %SystemRoot%\System32\svchost.exe -k netsvcs
[TlntSvr] C:\WINDOWS\System32\tlntsvr.exe
[TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs
[UMWdf] C:\WINDOWS\System32\wdfmgr.exe
[uploadmgr] %SystemRoot%\System32\svchost.exe -k netsvcs
[upnphost] %SystemRoot%\System32\svchost.exe -k LocalService
[UPS] %SystemRoot%\System32\ups.exe
[VSS] %SystemRoot%\System32\vssvc.exe
[W32Time] %SystemRoot%\System32\svchost.exe -k netsvcs
[WebClient] %SystemRoot%\System32\svchost.exe -k LocalService
[winmgmt] %systemroot%\system32\svchost.exe -k netsvcs
[WmdmPmSN] %SystemRoot%\System32\svchost.exe -k netsvcs
[Wmi] %SystemRoot%\System32\svchost.exe -k netsvcs
[WmiApSrv] C:\WINDOWS\System32\wbem\wmiapsrv.exe
[wuauserv] %systemroot%\system32\svchost.exe -k netsvcs
[WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs

**** Custom IE Search Items ****

SEARCH: [SearchAssistant] res://C:\WINDOWS\system32\darkt.dll/sp.html#93256
SEARCH: [] res://C:\WINDOWS\system32\darkt.dll/sp.html#93256
SEARCH: [SearchAssistant] res://C:\WINDOWS\system32\darkt.dll/sp.html#93256
SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
SEARCH: [] res://C:\WINDOWS\system32\darkt.dll/sp.html#93256

**** Complete IE Options ****

IEOPT: [NoUpdateCheck]
IEOPT: [NoJITSetup]
IEOPT: [Disable Script Debugger] yes
IEOPT: [Show_ChannelBand] No
IEOPT: [Anchor Underline] yes
IEOPT: [Cache_Update_Frequency] Once_Per_Session
IEOPT: [Display Inline Images] yes
IEOPT: [Do404Search]
IEOPT: [Local Page] C:\WINDOWS\System32\blank.htm
IEOPT: [Save_Session_History_On_Exit] no
IEOPT: [Show_FullURL] no
IEOPT: [Show_StatusBar] yes
IEOPT: [Show_ToolBar] yes
IEOPT: [Show_URLinStatusBar] yes
IEOPT: [Show_URLToolBar] yes
IEOPT: [Start Page] about:blank
IEOPT: [Use_DlgBox_Colors] yes
IEOPT: [Check_Associations] yes
IEOPT: [FullScreen] no
IEOPT: [Window_Placement] ,
IEOPT: [AddToFavoritesExpanded]
IEOPT: [Use FormSuggest] no
IEOPT: [NotifyDownloadComplete] no
IEOPT: [Error Dlg Displayed On Every Error] no
IEOPT: [Error Dlg Details Pane Open] no
IEOPT: [FormSuggest PW Ask] no
IEOPT: [Prev Search Page] http://www.microsoft.com/isapi/redir...ie&ar=iesearch
IEOPT: [Use Search Asst] no
IEOPT: [Use Custom Search URL]
IEOPT: [Default_Page_URL] http://www.microsoft.com/windows/ie_intl/en/start/
IEOPT: [Window Title]
IEOPT: [FavoritesExportFile] C:\Dokumente und Einstellungen\Cabriofreak\Desktop\bookmark.htm
IEOPT: [FavoritesImportFolder] C:\Dokumente und Einstellungen\Cabriofreak\Favoriten
IEOPT: [Search Page] res://C:\WINDOWS\system32\darkt.dll/sp.html#93256
IEOPT: [Search Bar] res://C:\WINDOWS\system32\darkt.dll/sp.html#93256
IEOPT: [Default_Page_URL] about:blank
IEOPT: [Enable_Disk_Cache] yes
IEOPT: [Cache_Percent_of_Disk]
IEOPT: [Delete_Temp_Files_On_Exit] yes
IEOPT: [Local Page] %SystemRoot%\system32\blank.htm
IEOPT: [Anchor_Visitation_Horizon]
IEOPT: [Use_Async_DNS] yes
IEOPT: [Placeholder_Width]
IEOPT: [Placeholder_Height]
IEOPT: [Start Page] about:blank
IEOPT: [CompanyName] Microsoft Corporation
IEOPT: [Custom_Key] MICROSO
IEOPT: [Wizard_Version] 6.00.2800.1106
IEOPT: [FullScreen] no
IEOPT: [Use Search Asst] no
IEOPT: [Window Title]
IEOPT: [Default_Search_URL] res://C:\WINDOWS\system32\darkt.dll/sp.html#93256
IEOPT: [Search Page] res://C:\WINDOWS\system32\darkt.dll/sp.html#93256
IEOPT: [Search Bar] res://C:\WINDOWS\system32\darkt.dll/sp.html#93256

Schau mal hier

http://www.giza-web.de/html/cwshredder-anleitung.html & hier CWShredder-Anleitung

und nicht vergessen, alle Fenster des IE Explorers beim fixen zu schliessen.

+ alles im abgesichertem Modus
--------------------------;)

klasse das hat mich schon nen ganzes stück weiter gemacht...
doch irgendwas muß noch da sein weil er dauernt meine startseite ändert und in meinen favoriten neue sachen anlegt!

@Cabriofreak
poste ein HJT logfile
download
anleitung
chaosman

hoffe ihr könnt damit was anfangen....

Logfile of HijackThis v1.99.1
Scan saved at 21:05:19, on 18.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\NoPopUp 2003\nopopup.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Programme\Windows Media Player\wmplayer.exe
C:\Dokumente und Einstellungen\Cabriofreak\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2407d446...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1109070278770
O17 - HKLM\System\CCS\Services\Tcpip\..\{044B899A-46FC-4EE4-860F-4218EDFE8E11}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{044B899A-46FC-4EE4-860F-4218EDFE8E11}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

@Cabriofreak
dein problem fängt hier schon an
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
update dein system und IE,

lade danach escan
download
anleitung

wechsle danach in den abgesicherten modus und fixe mit HJT
R3 - Default URLSearchHook is missing
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

lösche manuell C:\WINDOWS\web\related.htm
lasse danach escan wie beschrieben scannen

neu booten, neues HJT logfile posten
Öffne die mwav.log im Ordner C:\bases_x -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
Zitat Cidre

chaosman

gut ich werd das mal ausprobieren...
danke schonmal für deine mithilfe.

werd weiter berichten...

so habe alles so gemacht wie gesagt... sieht glaube ganz gut aus...
hier das log:

Logfile of HijackThis v1.99.1
Scan saved at 14:51:24, on 19.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Dokumente und Einstellungen\Cabriofreak\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2407d446...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1109070278770
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

dann hab ich noch ne frage! ich finde das log von dem escan nich? er hatte aber angezeigt das 24 vieren gefunden wurden. was soll ich machen oder ist es ok wenn das HJT log ok ist?!

Hi Cabriofreak

Dein system ist immer noch nicht up to date

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

das Logfile sieht jetzt imho sauber aus

wenn Du escan richtig ausgeführt hast dann ist im Verzeichnis C:\Bases
die mwav.log Datei zu finden. Das wollen wir wissen:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

so habs gefunden:

Tue Apr 19 14:47:24 2005 => ***** Scanning complete. *****

Tue Apr 19 14:47:24 2005 => Total Objects Scanned: 52854
Tue Apr 19 14:47:24 2005 => Total Virus(es) Found: 24
Tue Apr 19 14:47:24 2005 => Total Disinfected Files: 0
Tue Apr 19 14:47:24 2005 => Total Files Renamed: 0
Tue Apr 19 14:47:24 2005 => Total Deleted Objects: 0
Tue Apr 19 14:47:24 2005 => Total Errors: 3
Tue Apr 19 14:47:24 2005 => Time Elapsed: 01:38:19
Tue Apr 19 14:47:24 2005 => Virus Database Date: 2005/04/16
Tue Apr 19 14:47:24 2005 => Virus Database Count: 126266

Tue Apr 19 14:47:24 2005 => Scan Completed.

Tue Apr 19 14:47:41 2005 => Virus Database Date: 2005/04/16
Tue Apr 19 14:47:41 2005 => Virus Database Count: 126266
Tue Apr 19 14:47:46 2005 => AV Library Unloaded (3)...
Tue Apr 19 15:50:29 2005 => **********************************************************
Tue Apr 19 15:50:29 2005 => MicroWorld AntiVirus Toolkit Utility.
Tue Apr 19 15:50:29 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc.
Tue Apr 19 15:50:29 2005 => **********************************************************
Tue Apr 19 15:50:29 2005 => Version 6.0.8 (C:\DOKUME~1\CABRIO~1\LOKALE~1\Temp\mwavscan.com)
Tue Apr 19 15:50:29 2005 => Log File: C:\DOKUME~1\CABRIO~1\LOKALE~1\Temp\MWAV.LOG
Tue Apr 19 15:50:29 2005 => Last Scan Date and Time: 19.04.2005 13:08:54
Tue Apr 19 15:50:29 2005 => MWAV Registered: FALSE.
Tue Apr 19 15:50:29 2005 => MWAV Mode: Only Scan files.
Tue Apr 19 15:50:30 2005 => Latest Date of files inside MWAV: 16 Apr 2005 10:38:17.
Tue Apr 19 15:50:38 2005 => AV Library Loaded...
Tue Apr 19 15:50:38 2005 => MWAV doing self scanning...
Tue Apr 19 15:50:38 2005 => Scanning File C:\DOKUME~1\CABRIO~1\LOKALE~1\Temp\kavss.exe
Tue Apr 19 15:50:38 2005 => Scanning File C:\DOKUME~1\CABRIO~1\LOKALE~1\Temp\Getvlist.exe
Tue Apr 19 15:50:39 2005 => Scanning File C:\DOKUME~1\CABRIO~1\LOKALE~1\Temp\kavss.dll
Tue Apr 19 15:50:39 2005 => Scanning File C:\DOKUME~1\CABRIO~1\LOKALE~1\Temp\kavssdi.dll
Tue Apr 19 15:50:39 2005 => Scanning File C:\DOKUME~1\CABRIO~1\LOKALE~1\Temp\kavssi.dll
Tue Apr 19 15:50:39 2005 => Scanning File C:\DOKUME~1\CABRIO~1\LOKALE~1\Temp\kavvlg.dll
Tue Apr 19 15:50:39 2005 => Scanning File C:\DOKUME~1\CABRIO~1\LOKALE~1\Temp\msvlclnt.dll
Tue Apr 19 15:50:40 2005 => Scanning File C:\DOKUME~1\CABRIO~1\LOKALE~1\Temp\ipc.dll
Tue Apr 19 15:50:40 2005 => Scanning File C:\DOKUME~1\CABRIO~1\LOKALE~1\Temp\main.avi
Tue Apr 19 15:50:40 2005 => Scanning File C:\DOKUME~1\CABRIO~1\LOKALE~1\Temp\virus.avi
Tue Apr 19 15:50:40 2005 => MWAV files are clean.
Tue Apr 19 15:50:40 2005 => Virus Database Date: 2005/04/16
Tue Apr 19 15:50:40 2005 => Virus Database Count: 126266

Zitat:

Tue Apr 19 15:50:29 2005 => Version 6.0.8 (C:\DOKUME~1\CABRIO~1\LOKALE~1\Temp\mwavscan.com)

Du hast eScan nicht gemäß der Anleitung ausgeführt!

=> Lade eScan herunter und scanne dein System gemäß dieser Anleitung im abgesicherten Modus (alternativer Downloadlink).
Wichtig: Arbeite die einzelnen Schritte der Anleitung aufmerksam ab. eScan muss ins Verzeichnis c:\bases_x entpackt werden, die Haken müssen so, wie es auf den Bildern zu sehen ist, gesetzt sein.
Speichere außerdem diese Datei mittels Rechtsklick-> "Ziel speichern unter..." auf deiner Festplatte. Führe sie nach dem Scan mit eScan aus (Doppelklick). Danach solltest du die Datei c:\find.txt auf deiner Festplatte finden. Den Inhalt dieser Datei postest du dann bitte in diesen Thread.

Zitat:

Version 6.0.8 (C:\DOKUME~1\CABRIO~1\LOKALE~1\Temp\mwavscan.com)

in das verzeichnichs gehöt escan nicht hin, da kannst du ihn nicht updaten. das verzeichnis muss C:\Bases_x sein.Anleitung richtig lesen
dann wollen wir auch die namen wissen

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)