Trojaner gefangen?? unerwünschte Pop-Ups
 

Hi, scheine mir irgend nen Trojaner oder ähnliches gefangen zu haben.
Spybot meldet Vcodec und kann im resident-modus einen Eintrag im System32 Ordner ncompat.tlb nicht fixen. In der Fußzeile des Bildschirms kommt auch immer ein Warndreieck mit Meldung Virus-Warnung hoch. Zusätzlich gibt es ab und an PopUps die irgendwelche online-Virenchecker empfehlen, bis hin zu popup-Meldungen, daß von gewissen IP-Addressen der Rechner übernommen werden kann!!??

Das Log-File ist:


Scan saved at 14:15:11, on 07.02.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINNT\System32\smss.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\system32\services.exe
E:\WINNT\system32\lsass.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\system32\spoolsv.exe
E:\PROGRAMME\INTERNET\AVGUARD.EXE
E:\Programme\Internet\AVWUPSRV.EXE
E:\WINNT\System32\rcapi.exe
E:\WINNT\System32\svchost.exe
E:\WINNT\system32\nvsvc32.exe
E:\WINNT\system32\regsvc.exe
E:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE
E:\WINNT\system32\MSTask.exe
E:\WINNT\system32\ZONELABS\vsmon.exe
E:\WINNT\Explorer.EXE
E:\WINNT\System32\WBEM\WinMgmt.exe
E:\WINNT\system32\mspmspsv.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\system32\mssearchnet.exe
E:\WINNT\htpatch.exe
E:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
E:\Programme\Internet\AVGNT.EXE
E:\Programme\Java\jre1.5.0_04\bin\jusched.exe
E:\Programme\Internet\ZoneAlarm\zlclient.exe
E:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe
E:\WINNT\system32\internat.exe
E:\WINNT\system32\RUNDLL32.EXE
E:\Programme\Internet\GMX\SmartSurfer\SmartSurfer.exe
E:\WINNT\system32\wuauclt.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe
E:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
E:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
E:\Programme\CAD\OrCAD\OrCAD_10.5\tools\bin\cdsNameServer.exe
E:\Programme\CAD\OrCAD\OrCAD_10.5\tools\bin\cdsNameServer.exe
E:\Programme\CAD\OrCAD\OrCAD_10.5\tools\bin\cdsNameServer.exe
E:\Programme\CAD\OrCAD\OrCAD_10.5\tools\bin\cdsNameServer.exe
E:\Programme\CAD\OrCAD\OrCAD_10.5\tools\bin\cdsNameServer.exe
E:\Programme\CAD\OrCAD\OrCAD_10.5\tools\bin\cdsNameServer.exe
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HTpatch] E:\WINNT\htpatch.exe
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] E:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [AVGCtrl] "E:\Programme\Internet\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] E:\Programme\Internet\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] E:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe
O4 - HKLM\..\Run: [SpybotSnD] "E:\Programme\Internet\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autofix
O4 - HKLM\..\RunOnce: [SpybotSnD] "E:\Programme\Internet\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autofix
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Internet\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: GMX SmartSurfer.lnk = E:\Programme\Internet\GMX\SmartSurfer\SmartSurfer.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = E:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = ?
O4 - Global Startup: Mountit.lnk = E:\Programme\Brenner\Roxio\WinOnCD 6\MountIt.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll

Wär für Hinweise dankbar

Gruss
DerBiker

Hallo BikerDudeCGN,

folgendes sollte helfen:
http://www.trojaner-board.de/showpos...51&postcount=2

dartus

Hi,

danke für den Tip,

habe das Smitrem laufen lassen. Es klappert das System ab und startet dann in einen Korrektur-Modus(?), mit dem Hinweis, das könne 3 Stunden dauern...läuft aber anscheinend nur wenige Sekunden. Danach scheints zu beenden und das Fenster verschwindet und der Rechner bleibt im Idle.
Eine smitrem.txt-Datei ist anschließend nirgends zu finden. :confused:

Das Problem von Spybot mit der Vcodec-Meldung hat sich aber gelöst :party:
....Spy findet keine Spione mehr und es kommen auch keine neuen Pop-Ups..
AntiVir SpywareBlaster und AdAware finden auch nix besonderes mehr. Scheint also iO. :daumenhoc

Besten Dank nochmal für die schnelle Hilfe. :aplaus:

jauu
TheDude