Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   HideRunA.2 (https://www.trojaner-board.de/9346-hideruna-2-a.html)

susi- 08.11.2004 18:45
HideRunA.2
 
Logfile of HijackThis v1.98.2
Scan saved at 19:28:55, on 08.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\TEMP\mspaintx.exe
C:\Programme\ISTsvc\istsvc.exe
C:\Dokumente und Einstellungen\Susanne von Hoermann\Internet Optimizer\optimize.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Susanne von Hoermann\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [OSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [msdev] msdev.exe
O4 - HKLM\..\Run: [msconfig.exe] C:\WINDOWS\TEMP\mspaintx.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Dokumente und Einstellungen\Susanne von Hoermann\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [msdev] msdev.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msdev] msdev.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {A4E622F2-E8B8-4D8A-85BF-BEF80767C7C4} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/at/games4.cab
O18 - Filter: text/html - {E829970B-8864-40D8-A72F-5914B81A3008} - C:\Dokumente und Einstellungen\Susanne von Hoermann\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat

cacatoa 08.11.2004 18:49
Hallo, susi-
Bitte ein HJT-Logfile erstellen und per copy & paste hier in sForum posten, damit man sieht, was sonst noch so los ist.

susi- 08.11.2004 19:33
es öffnet sich jetzt ständig eine internetseite die sich versucht irgendwo einzuwählen! kann jedesmal nur noch die verbindung trennen, sonst geht dann nichts mehr

cacatoa 08.11.2004 19:42
Hi,
bitte im abgesicherten Modus, bei deaktivierter Systemwiederherstellung folgendes fixen:
C:\Programme\ISTsvc\istsvc.exe
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softw...006_regular.cab

Dann folgende Dateien manuell löschen:
C:\Programme\ISTsvc\istsvc.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\WINDOWS\nem220.dll

Wenn du es nicht kennst, dann das auch noch:
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/at/games4.cab

Bitte dann neues Logfile posten!
cacatoa

susi- 08.11.2004 20:15
danke für die hilfe, ich bin aber ein totaler computer trottel und komm allein nicht weiter. muss erstmal jmd finden wer mir zumindest soweit helfen kann dass ich das alles machen kann was du mir gerade gesagt hast..
danke trotzdem!

chaosman 08.11.2004 20:17
@susi-

http://www.trojaner-board.de/63335-w...s-starten.html

http://www.bsi.bund.de/av/texte/wiederher_xp.htm
hoffentlich bringt es was :D

chaosman

cacatoa 08.11.2004 20:23
@ chaosman:
Danke!

@ susi-
"fixen" heißt nach dem scan mit HiJackThis, bei den von mir genannten "Bösen" ein Häkchen setzen und auf "Fix checked" clicken.

Lies dir die Tipps von uns gut durch (vor allem, was in den Links steht) und lass Dir Zeit.
cacatoa

susi- 09.11.2004 00:03
so, hat lang gedauert aber doch... hier das neue logfile.
allerdings habe ich C:\WINDOWS\nem220.dll nirgends gefunden um es zu löschen...

Logfile of HijackThis v1.98.2
Scan saved at 23:59:16, on 08.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\TEMP\mspaintx.exe
C:\Dokumente und Einstellungen\Susanne von Hoermann\Internet Optimizer\optimize.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Dokumente und Einstellungen\Susanne von Hoermann\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [OSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [msdev] msdev.exe
O4 - HKLM\..\Run: [msconfig.exe] C:\WINDOWS\TEMP\mspaintx.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Dokumente und Einstellungen\Susanne von Hoermann\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [msdev] msdev.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msdev] msdev.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {A4E622F2-E8B8-4D8A-85BF-BEF80767C7C4} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O18 - Filter: text/html - {E829970B-8864-40D8-A72F-5914B81A3008} - C:\Dokumente und Einstellungen\Susanne von Hoermann\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat

cacatoa 09.11.2004 12:16
Bitte das noch im abgesicherten Modus, deaktiv. Systemwiederherst. fixen:
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [msdev] msdev.exe
O4 - HKLM\..\RunServices: [msdev] msdev.exe
O4 - HKCU\..\Run: [msdev] msdev.exe

Die Datei manuell löschen:
C:\WINDOWS\web\related.htm

Dann sollte es o.k. sein.
Zur Sicherheit bitte einen eScan ebenfalls im abgesicherten Modus , deaktiv. Syst.wdhstg. machen.
Das Ergebnis des scans hier reinposten, ebenso neues Logfile.

susi- 09.11.2004 22:54
sicher dass ich den scan dann hier posten soll?!?!
das sind über 1000 seiten und dauert ewig hochzuladen...
funktioniert übrigens trotz letztem schritt (die sachen fixen und löschen) noch immer nicht

susi- 09.11.2004 22:57
hier aber mal der scan von hijack:

Logfile of HijackThis v1.98.2
Scan saved at 22:55:44, on 09.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\TEMP\mspaintx.exe
C:\Dokumente und Einstellungen\Susanne von Hoermann\Internet Optimizer\optimize.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Susanne von Hoermann\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [OSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [msconfig.exe] C:\WINDOWS\TEMP\mspaintx.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Dokumente und Einstellungen\Susanne von Hoermann\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {A4E622F2-E8B8-4D8A-85BF-BEF80767C7C4} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O18 - Filter: text/html - {E829970B-8864-40D8-A72F-5914B81A3008} - C:\Dokumente und Einstellungen\Susanne von Hoermann\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat

cacatoa 10.11.2004 09:37
Hallo, susi-
nach dem eScan:
..."Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen...

Dein Logfile sieht gut aus!
Mich würde aber tatsächlich die Auswertung von eScan (s.o.) noch interessieren.
Wenn die auch o.k. ist, dann hast Du alles erledigt!

chaosman 10.11.2004 09:42
@susi-

dies könntest noch fixen
wechsle in den abgesicherten modus und fixe
O9 - Extra button: MedionShop - {A4E622F2-E8B8-4D8A-85BF-BEF80767C7C4} - http://www.medionshop.de/ (file missing) (HKCU)
neu starten, lade dir dann clearprog von www.clearprog.de
starten, unter IE, den Verlauf, Cookies, und Temporary Internet Files löschen
nächstes mal Hijackthis einen eigenen Ordner geben, anders kann es keinen backups erstellen.

chaosman

susi- 10.11.2004 11:53
so, wiedermal auftrag ausgeführt,
hier ist der neue hijack.

waum muss ich für hijackthis einen eigenen ordner anlegen? ich hab doch keine ahnung von alle dem...

susi- 10.11.2004 11:54
uups, vergessen:

Logfile of HijackThis v1.98.2
Scan saved at 11:50:25, on 10.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\TEMP\mspaintx.exe
C:\Dokumente und Einstellungen\Susanne von Hoermann\Internet Optimizer\optimize.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Susanne von Hoermann\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [OSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [msconfig.exe] C:\WINDOWS\TEMP\mspaintx.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Dokumente und Einstellungen\Susanne von Hoermann\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O18 - Filter: text/html - {E829970B-8864-40D8-A72F-5914B81A3008} - C:\Dokumente und Einstellungen\Susanne von Hoermann\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat

ZERO 10.11.2004 12:19
Hi Susi

also dein neuer log sieht soweit sauber aus!
lad dir mal das clear programm
runter und lösche damit dine temp dateien!

du hast SP2 gar nicht installiert, solltest du tun!

oder hast du einen bestimmten grund ihn nicht zu installieren?

cacatoa 10.11.2004 12:41
@ susi
Wie siehts denn mit den eScan-Ergebnissen aus?

susi- 10.11.2004 13:08
ich hoff das war jetzt richtig,hier sind sie:


File C:\Dokumente und Einstellungen\All Users\Dokumente\bomsvc32.exe infected by "Backdoor.Win32.Agobot.gen" Virus. Action Taken: No Action Taken.

Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Scanning File C:\Programme\AVPersonal\INFECTED\MT-UNINSTALLER.EXE.VIR

File C:\Programme\AVPersonal\INFECTED\MT-UNINSTALLER.EXE.VIR tagged as not-a-virus:AdWare.PurityScan.u. No Action Taken.

File C:\RECYCLER\S-1-5-21-4012756773-3185167947-1889565774-500\Dc1.txt infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: No Action Taken.

Total Disinfected Files: 0

susi- 10.11.2004 13:11
@zero:
hab gehört mit service pack 2 würde alles so langsam werden und einiges nicht mehr funktionieren? stimmt das nicht?
ist das clearprogramm das von clearprog.de? hab ich schon gemacht, fehlt da etwa noch was?

ZERO 10.11.2004 13:21
also ich kann das nicht bestätigen ich hab sp2 und es läuft sogar besser als vorher!

Ja das ist das prog von www.clearprog.de

So un nun die schlechte nachricht:
Du hast einen trojaner mit dem name Agobot drauf, das ist einer der Backdoors installiert !
Ich rate dir dein system neu aufzusetzen!

Cidre hat da ne gute anleitung gemacht:
http://www.trojaner-board.de/showpos...28&postcount=2

susi- 10.11.2004 13:27
DANKE!!!!!!!!!!!!!!! für die hilfe!

aber da werd ich wohl doch mal auf den grundsatz "selbst ist die frau" verzichten müssen ;-)
das trau ich mir dann nicht alleine zu, muss erst mal jemand finden wer mir dabei helfen kann...

DANKE

susi- 10.11.2004 20:39
?!?!
 
bei mir ist gerade ein fenster aufgegangen in dem ich informiert wurde, dass ich bereits mit spy-ware desinfiziert bin. es ist ein link angegeben: adekit.com.
ist das vielleicht auch schon wieder was von irgend einem virus oder kann ich es ohne gefahr anklicken?!

cacatoa 10.11.2004 21:38
Ob du aufmachst, oder nicht, ist völlig egal, da es eh schon fast nicht mehr schlimmer werden kann.
Du hast zwei Würmer mit backdoor-Qualitäten drauf, Dein System ist kompromittiert und Du bist damit auch eine Gefahr für andere.
Deshalb gilt, wie von Zero schon geschrieben, ab aus dem Netz und den Anweisungen von cidre exakt folgen.
Die hier hast Du drauf:
Info 1
Info 2
Lies es Dir durch und du wirst verstehen....
Grüße
cacatoa

susi- 10.11.2004 21:56
?!?
 
jetzt hat sich ein fenster geöffnet in dem steht dass ich von spy-ware infiziert bin. ich soll einen link anklicken: ADEKIT.com
kann das sein oder soll ich das lieber nicht anklicken?!

ausserdem sind meine temporary internet files schon wieder total voll gewesen obwohl ich sie vorhin ja erst gelöscht habe. jetzt habe ich wieder den ganzen inhalt gelöscht, er wird aber nicht in den papierkorb geschoben. ich habe keine ahnung wo das jetzt alles hin ist. was kann ich denn jetzt machen?!

cacatoa 10.11.2004 21:58
Hallo, susi-
Bitte lies meinen post von eben. Dann weißt Du was los ist.
cacatoa

susi- 10.11.2004 22:00
ok, konnte deine nachricht gerade nicht lesen und meine letzte auch nicht. werd den comp jetzt in die hinterste ecke stellen und warten bis mir jmd hilft...
danke nochmal für die hilfe!!!!!!!!!!!


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:13 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19