Ganz böser Trojaner.....HELFT MIR BITTE!
 

Hi!
hab irgendwie n Trojaner aufm rechner und der schränkt mich extrem ein!!!
Hier die HiJack Logfile!

Logfile of HijackThis v1.99.1
Scan saved at 22:13:38, on 10.07.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Citrix\ICA Client\ssonsvr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\popuper.exe
C:\WINDOWS\System32\NVATray.exe
C:\WINDOWS\mHotkey.exe
C:\PROGRAMME\NORMAN\nvc\BIN\ZLH.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Office mouse\1.1\moffice.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\intmonp.exe
C:\Programme\Office mouse\1.1\MOUSE32A.DAT
C:\WINDOWS\System32\intmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\PROGRAMME\NORMAN\nvc\BIN\NYMSE.EXE
C:\PROGRAMME\NORMAN\nvc\BIN\NJEEVES.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Dokumente und Einstellungen\Owner\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsmart.tv/search
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
R3 - Default URLSearchHook is missing
F1 - win.ini: run=C:\WESTWOOD\ALARM\INSTICON.EXE C:\WESTWOOD\ALARM\INSTICON.EXE C:\WESTWOOD\ALARM\INSTICON.EXE C:\WESTWOOD\ALARM\INSTICON.EXE C:\WESTWOOD\ALARM\INSTICON.EXE C:\WESTWOOD\ALARM\INSTICON.EXE
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hp829D.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\PROGRAMME\NORMAN\nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Office mouse\1.1\moffice.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\image.dll,Install
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [sim1] C:\WINDOWS\com1.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DXDllRegExe] C:\WINDOWS\System32\dxdllreg.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [AntivirusGold] C:\Programme\AntivirusGold\AntivirusGold.exe /h
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\System32\intel32.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ShellEx] C:\WINDOWS\System32\ShellEx.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\System32\hookdump.exe
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.dll,Install
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programme\InterVideo\WinDVR\WinScheduler.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0a\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Program Neighborhood-Agent.lnk = C:\Programme\Citrix\ICA Client\pnagent.exe
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: LiveWorld EZTalk 3.0 - http://bizchat.liveworld.com/java/ezmed/ezmed.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Norman NJeeves - Unknown owner - C:\PROGRAMME\NORMAN\nvc\BIN\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Programme\Norman\NVC\BIN\Zanda.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe


Könnt ihr mir bitte helfen!!!! Wäre äußerst dringend!

Danke!

Dominik
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.


LG Cidre
S-Mod TB

Hallo,

hast du die Ankündigung nicht gelesen?!

Eine Bereinigung deines ungepachten System macht keinen Sinn, darum solltest du, unter Arbeitung aller Punkte, dein System ASAP neu aufsetzen, siehe meine Signatur.

ne, hat auch schon mit dem Löschen einzelner Dateien geklappt!

Das beantwortet meine Frage nicht!

Hast du nun die Ankündigung (Aktive Links editieren!) gelesen?

[ ] Ja
[ ] Nein
[ ] Weiß nicht?

:) .....ist aber auch für uns newbies nicht immer einfach cidre......aber lustig ists schon........ :daumenhoc

Manchmal kann ich sogar Verständnis hierfür aufbringen...
Wenn ich aber den TO darauf hinweise und anschließend alles abermals vorkaue, dann hakt es bei mir aus. :mad:

Demzufolge unterstelle ich mal Ignoranz, Faulheit oder auch Lernresistenz.

@ mad_domi

Bei nochmaliger Nichtbeachtung verschiebe ich deinen Beitrag in die Mülltonne.

Hallo zusammen,
ich habe da ein ähnliches Problem.
Antivir meldet mir ständig die verschiedensten Trojaner ( ich habe bis jetzt 5 gezähl) zudem meldet es mir beim Scan ca. 50 bereits infizierte Dateien..bin ein völliger Nwebi auf dem Gebiet..kann mir da jemand helfen.

@jeremie23

dann erstelle doch bitte ein HJT-Logfile gem. Anleitung von Cidre

http://www.trojaner-board.de/showthread.php?t=17493

Das Ergebniss postest Du dann bitte in einem neuen eigenen Threat, damits übersichtlich bleibt........ :daumenhoc

Bitte unbedingt beim posten beachten

"Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.

Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://trojaner-board.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken."

Kánn mir nicht EIN EINZIGER von euch posten, was ich löschen muss? IST DAS ZUVIEL VERLANGT, MIR IST ES VERDAMMT WICHTIG...

und hör mal auf so rumzustressen Cidre, ich brauch was konstruktives!!!!!!!!


BIIIIIIIITTE!

Die durchgehende Großschreibung wird als Schreien empfunden und ebenso verpönt ist die Vervielfältigung einzelner Buchstaben um die Dringlichkeit hervorzuheben.

Verzichte zukünftig darauf, wenn du Hilfe erwartest!

Eine direkte Lösung gibt es von mir nicht, da du auf meine Fragen auch nicht antwortest...

Tipp:
Über sie Boardsuche sollte sich eine Lösung finden lassen. Das Problem wurde innerhalb von zwei Monaten zum ca. 500sten Mal durchgekaut.

:koch: also der einzige der hier rumstresst bist du!
so wird dir hier keiner helfen!

Ich stress doch nicht rum, aber es ist extrem dringend und ich bin in dem Gebiet nunmal eher ein N00b bzw. nap. Also helft mir doch bitte und sagtt mir, welche Dateien ich löschen soll! Oder soll ich sie nur fixen?

Danke!

und sorry Cidre ,hab sie jetzt gelesen und finde es nett, dass du die Links vorsichtshalber schonmal editiert hast! Thx! :daumenhoc :bussi:

@mad_domi

Cidre hatte Dir den Tipp, den Du hier so verzweifelt suchst, schon in der ersten Antwort gegeben -----> Systen neu aufsetzen und zwar strikt nach der Anleitung, die Du aus der Signatur von Cidre dazu entnehmen kannst.

Nach ein wenig Suche, habe ich wohl zumindest schonmal den hier

http://www.sophos.de/virusinfo/analyses/trojvbd.html

bei Dir aufgetan, wenn mich nicht alles irrt. Wie Du selber siehst, handelt es sich hier um einen Backdoortrojaner, Dein System ist damit kompromittiert und nicht mehr vertrauenswürdig!

Cidre, verbessere mich, sollte ich falsch liegen......

hm ,aber geht das vorerst nicht mal ohne Neuaufsetzen? Halt mal die Dateien löschen zur normalen Benutzung.....ich will den eigentlich nicht "formatieren" wgn den ganzen wichtigen Daten....kann ich nicht einfach mal Datien löschen.....die bösen halt ;-)