Trojaner-Board - H I L F E ! ! ! ! :(

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - H I L F E ! ! ! ! :( (https://www.trojaner-board.de/9559-h-i-l-f-e.html)

H I L F E ! ! ! ! :(

Hallo erstmal!

Ich bin neu hier und habe ehrlich gesagt überhaupt keine Ahnung von Trojanern etc. Ich habe Windows XP und da kenne ich mich leider genausowenig aus.
Ein Virenscanner hat VIELE Trojaner und ähnliches von meinem System entfernt, trotzdem habe ich immer noch folgende Probleme:

1. Die Startseite meines Internet Explorers lässt sich nicht ändern. Ich weiß, dass es genau dafür schon ein thema hier im Forum gibt, aber leider bin ich zu blöd um die Tipps dort zu verstehen, sorry...

2. Ich kann Regedit nicht mehr verwenden. Es kommt eine Meldung, dass der "Administrator" den Zudriff verweigert hat...

3. (das schlimmste Problem) Über meinen ganzen Desktop erstreckt sich ein seltsames HTML-File (weiß, blinkt ab und zu gelblich), das ich da einfach nicht wegbekomme.

Ich würde mich sehr freuen, wenn mir jemand (mit IDIOTENSICHEREN Tipps) weiterhelfen könnte! Ich würde nämlich gerne mal wieder mein Hintergrundbild sehen. :(

@Braindead_Paul
Schwarze Desktop und blinkt
(Zitat von Silverdrug)

1 - Taskleiste Rechtsklick - Eigenschaften.
2 - Taskleiste automatisch ausblenden Aktivieren.
3 - Man kann nun einen kleinen Teil des alten Desktop hintergrundes sehen, da wo die Taskleiste früher war.
4 - Rechtsklick - Eigenschaften auf den kleinen alten Desktop ausschnitt.
5 - Dektop - Desktop anpassen
6 - Web-Karteikarte auswählen
7 - Eintrag "Security" Löschen
poste doch mal ein logfile mit Hijackthis
http://www.hijackthis.de/
chaosman

Oh Mann! VIELEN VIELEN DANK! Wenn ich gewusst hätte, dass mein Problem hier innerhalb von fünf Minuten gelöst wird, hätte ich nicht ewig rumprobiert!
Echt super, dass das so schnell ging!

Das mit dem Logfile mache ich dann morgen, weil ich jetzt leider weg muss.
Danke nochmal!

@Braindead_Paul
das problem ist wohl schon älter, die lösung gibt es auch schon länger :blabla:
poste bitte trotzdem ein HJT logfile
chaosman

Ja, das dachte ich mir schon. Aber ich war überrascht, dass keine 5 Minuten nach meinem Post schon eine Antwort kam!

So, hier das Logfile-Dings:

Logfile of HijackThis v1.98.2
Scan saved at 12:48:43, on 14.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Pinnacle\Shared Files\remoterm.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\DelFin\PromulGate\PgMonitr.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\systime.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\systime.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\AvRack\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-on-the-net.com/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.search-exe.com/nph-sea...=sbar1_srchbtn
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.search-exe.com/nph-sea...ook=stmpl1&fw=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-sea...ook=stmpl1&fw=
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-sea...ook=stmpl1&fw=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R3 - Default URLSearchHook is missing
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: Recommended Hotfix - {0421701D-CF13-4E70-ADF0-45A953E7CB8B} - C:\Programme\Recommended Hotfix - 421701D\v15\RH.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem302.dll (file missing)
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\Msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\Shared Files\remoterm.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PSDrvCheck] "C:\Programme\Pinnacle\Instant PhotoAlbum\programs\PSDrvCheck.exe" -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleRemote] C:\Programme\Pinnacle\Shared Files\remoterm.exe
O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ewbwrpggukox] C:\WINDOWS\System32\kimjwmqy.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binarie...1029_EN_XP.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://209.8.20.130/dl/adv249/x.chm::/load.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...dceabcca450006
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094209606921
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

Hallo Braindead_Paul,

lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ca 1 Stunde dauert und ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

SD

Hab das jetzt gemacht. Das Ergebnis finde ich etwas .. beunruhigend:

File C:\WINDOWS\System32\systime.exe infected by "Trojan.Win32.StartPage.pu" Virus.

File C:\WINDOWS\System32\systime.exe infected by "Trojan.Win32.StartPage.pu" Virus.

File C:\WINDOWS\toolbar.exe infected by "Trojan.Win32.LowZones.f" Virus.

File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.k" Virus.

File C:\WINDOWS\mstasks1.exe infected by "TrojanDownloader.Win32.Monurl.gen" Virus.

File C:\WINDOWS\System32\systime.exe infected by "Trojan.Win32.StartPage.pu" Virus.

File C:\WINDOWS\System32\msload.exe infected by "TrojanDownloader.Win32.Monurl.gen" Virus.

File C:\WINDOWS\system32\systime.exe infected by "Trojan.Win32.StartPage.pu" Virus.

File C:\WINDOWS\system32\msload.exe infected by "TrojanDownloader.Win32.Monurl.gen" Virus.

File C:\WINDOWS\BDE\bdeviewer.exe infected by "Trojan.Win32.Krepper.y" Virus.
File C:\WINDOWS\toolbar.exe infected by "Trojan.Win32.LowZones.f" Virus.

File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.k" Virus.

File C:\WINDOWS\mstasks1.exe infected by "TrojanDownloader.Win32.Monurl.gen" Virus.

File C:\Dokumente und Einstellungen\Christisn Ries\Lokale Einstellungen\Temp\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Christisn Ries\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ER423YBX\i[1].hta infected by "TrojanDropper.VBS.Inor.by" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Christisn Ries\Lokale Einstellungen\Temporary Internet Files\Content.IE5\722LTRL4\toolbar[1].txt infected by "Trojan.Win32.LowZones.f" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Christisn Ries\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IREBEHMB\systime[1].txt infected by "Trojan.Win32.StartPage.pu" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Christisn Ries\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ADNWXKZ6\istsvc[1].exe infected by "Trojan-Downloader.Win32.IstBar.ga" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Christisn Ries\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NFPJ7PKS\i[1].hta infected by "TrojanDropper.VBS.Inor.by" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Christisn Ries\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NFPJ7PKS\x[1].chm infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Christisn Ries\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8NZ7Y4X9\load[1].exe infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Christisn Ries\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHE74L2F\CAMBS16V.htm infected by "TrojanDownoader.JS.FlingStone" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Christisn Ries\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHE74L2F\http[1].hta infected by "Trojan.VBS.StartPage.j" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Christisn Ries\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OPM7S1EJ\prompt[1].htm infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Christisn Ries\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0H2FWPI3\adv249[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Christisn Ries\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WHUBC9U7\CAE383AR.HTM infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Christisn Ries\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UPR8HGZA\mstasks1[1].txt infected by "TrojanDownloader.Win32.Monurl.gen" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Christisn Ries\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZNH7FX4K\popup3[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Christisn Ries\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZNH7FX4K\0006_regular[1].cab infected by "Trojan-Downloader.Win32.IstBar.fz" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Christisn Ries\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZNH7FX4K\mstasks2[1].txt infected by "Trojan.Win32.Favadd.c" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Christisn Ries\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S9SHQR0P\CAQXUTQL.HTM infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Christisn Ries\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MXC36P25\glx[1].exe infected by "TrojanDownloader.Win32.Monurl.gen" Virus. Action Taken: No Action Taken.

File C:\Programme\AVPersonal\INFECTED\KLLNKBHN.EXE.VIR infected by "TrojanProxy.Win32.Agent.ai" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{2AD6D823-A9CB-424B-A351-16A6485FF980}\RP136\A0015563.dll infected by "TrojanDownloader.Win32.Dyfuca.gen" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{2AD6D823-A9CB-424B-A351-16A6485FF980}\RP136\A0015640.exe infected by "TrojanDownloader.Win32.Dyfuca.cr" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{2AD6D823-A9CB-424B-A351-16A6485FF980}\RP136\A0015641.exe infected by "TrojanDownloader.Win32.Dyfuca.cr" Virus. Action Taken: No Action Taken.

SFile C:\System Volume Information\_restore{2AD6D823-A9CB-424B-A351-16A6485FF980}\RP136\A0015642.EXE infected by "Backdoor.Jeemp.c" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{2AD6D823-A9CB-424B-A351-16A6485FF980}\RP136\A0015643.DLL infected by "Backdoor.Thunk.e" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{2AD6D823-A9CB-424B-A351-16A6485FF980}\RP136\A0015644.EXE infected by "TrojanDownloader.Win32.Realtens.e" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{2AD6D823-A9CB-424B-A351-16A6485FF980}\RP136\A0015658.DLL infected by "TrojanDownloader.Win32.Dyfuca.dc" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{2AD6D823-A9CB-424B-A351-16A6485FF980}\RP136\A0015659.exe infected by "TrojanDownloader.Win32.Monurl.gen" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{2AD6D823-A9CB-424B-A351-16A6485FF980}\RP136\A0015660.exe infected by "Backdoor.Thunk.d" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{2AD6D823-A9CB-424B-A351-16A6485FF980}\RP136\A0015661.exe infected by "TrojanSpy.Win32.Small.ak" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{2AD6D823-A9CB-424B-A351-16A6485FF980}\RP136\A0015662.exe infected by "Trojan.Win32.Favadd.c" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{2AD6D823-A9CB-424B-A351-16A6485FF980}\RP137\A0015664.exe infected by "TrojanProxy.Win32.Agent.ai" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{2AD6D823-A9CB-424B-A351-16A6485FF980}\RP137\A0015666.exe infected by "TrojanProxy.Win32.Agent.ai" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{2AD6D823-A9CB-424B-A351-16A6485FF980}\RP137\A0015667.dll infected by "Trojan.Win32.Hoost.a" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{2AD6D823-A9CB-424B-A351-16A6485FF980}\RP137\A0015668.exe infected by "TrojanProxy.Win32.Agent.ai" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{2AD6D823-A9CB-424B-A351-16A6485FF980}\RP137\A0015669.exe infected by "TrojanProxy.Win32.Agent.ai" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{2AD6D823-A9CB-424B-A351-16A6485FF980}\RP137\A0015670.exe infected by "TrojanProxy.Win32.Agent.ai" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{2AD6D823-A9CB-424B-A351-16A6485FF980}\RP137\A0015671.exe infected by "TrojanProxy.Win32.Agent.ai" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{2AD6D823-A9CB-424B-A351-16A6485FF980}\RP137\A0015672.exe infected by "TrojanProxy.Win32.Agent.ai" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{2AD6D823-A9CB-424B-A351-16A6485FF980}\RP137\A0015673.exe infected by "TrojanProxy.Win32.Agent.ai" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{2AD6D823-A9CB-424B-A351-16A6485FF980}\RP137\A0016648.EXE infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{2AD6D823-A9CB-424B-A351-16A6485FF980}\RP137\A0016730.EXE infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{2AD6D823-A9CB-424B-A351-16A6485FF980}\RP137\A0016762.exe infected by "Trojan-Downloader.Win32.Dyfuca.dk" Virus. Action Taken: No Action Taken.

---bei den ersten paar hab ich das "Action Taken: No Action Taken." weggelassen, weil der Beitrag sonst zu lang geworden wäre.

Das sind über 50. Allerdings steht am Ende des Logs sogar was von 102 Viruses found. :eek: Kann man noch was retten?!

Ist ja ne ganze Menge!
Gottseidank ohne Backdoor.
Folgendes :
Erst mal clearprog 1.4.0 final runterladen, alle Häkchen bei IE und Windows setzen und auf löschen clicken.
Dann ist die Hälfte schon mal weg.
Dann AdAware SE runterladen und laufen lassen (vorher die update-Funktion nutzen), alles löschen, was es findet.
Dann im abgesicherten Modus bei deaktivierter Systemwiederherstellung neuen eScan machen und was er gefunden hat, manuell löschen.
Dann hochfahren, Systemwiederherstellung aktivieren, dann solte es passen.
Neues Logfile und Ergebnis des eScan bitte reinposten.
cacatoa

P.S. und Dein System updaten, du hast weder XP noch IE auf neuestem Stand, das kann ungesund werden.

@cacatoa:
Vielen Dank erstmal für die Tipps!
Ich habe jetzt Clearprog und AdAware laufen lassen.
Allerdings zeigte Clearprog ein "Problem" an.
Bei AdAware habe ich alles gelöscht, was er gefunden hatte ausser den "Negligible Objects", bei denen es sich um 32 "MRU Lists" handelt. Hätte ich die auch löschen sollen?

Jetzt wüsste ich gerne wie du das genau gemeint hast mit "deaktivierter Systemwiederherstellung" bzw. "Systemwiederherstellung aktivieren".

Tut mir leid, dass ich mich so dumm anstelle, aber ich möchte jetzt lieber nichts falsch machen...

Hi,
Adaware kannst Du umstellen auf deutsch, dann wirst du feststellen, daß Du die MRU-Listen auch löschen kannst.

Systemwiederherstellung deaktivieren:
Arbeitsplatz rechte Maustaste, Eigenschaften, Systemwiederherstellung, auf allen Laufwerdekn deaktivieren.
Wenn Du fertig bist, dann wieder aktivieren
Wei Du im abgesicherten Modus arbeitest, weißt Du, Oder?
bis dann

P.S. welches Prob hatte denn clearprog?

Hallo!

eScan hatte folgendes Ergebnis:

Mon Nov 15 16:38:18 2004 => File C:\WINDOWS\toolbar.exe infected by "Trojan.Win32.LowZones.f" Virus. Action Taken: No Action Taken.

Mon Nov 15 16:38:18 2004 => File C:\WINDOWS\mstasks1.exe infected by "TrojanDownloader.Win32.Monurl.gen" Virus. Action Taken: No Action Taken.

Mon Nov 15 16:40:19 2004 => File C:\WINDOWS\System32\msload.exe infected by "TrojanDownloader.Win32.Monurl.gen" Virus. Action Taken: No Action Taken.

Mon Nov 15 16:52:01 2004 => File C:\WINDOWS\system32\msload.exe infected by "TrojanDownloader.Win32.Monurl.gen" Virus. Action Taken: No Action Taken.

Mon Nov 15 16:55:18 2004 => File C:\WINDOWS\toolbar.exe infected by "Trojan.Win32.LowZones.f" Virus. Action Taken: No Action Taken.

Mon Nov 15 16:55:18 2004 => File C:\WINDOWS\mstasks1.exe infected by "TrojanDownloader.Win32.Monurl.gen" Virus. Action Taken: No Action Taken.

Mon Nov 15 17:12:44 2004 => File C:\Programme\AVPersonal\INFECTED\KLLNKBHN.EXE.VIR infected by "TrojanProxy.Win32.Agent.ai" Virus. Action Taken: No Action Taken.

Allerdings stand da am Ende "viruses detected: 14"...
Was soll ich als nächstes tun?

Das Clearprog hat nur am Ende (?) gemeldet, dass ein Problem aufgetreten ist und dass ich einen Problembericht an die Firma bzw. Microsoft schicken kann...

Hi,
leere als erstes den Quarantäneordner von Antivir.
Dann lösche die von eScan gefundenen Dateien im abgesicherten Modus bei deaktivierter Systemwiederherstellung. Damit Du alle Dateien findest: Explorer öffnen, auf "Extras" clicken, Ordernoptionen, dort auf Ansicht, entferne das Häkchen bei "geschützte Systemdateien ausblenden", setze ein Häkchen bei "alle Dateien und Ordner anzeigen", dann auf o.k.
Noch mal einen eScan machen, Ergebnis posten.
cacatoa

Hallo nochmal!

Also eScan hat jetzt nur noch Dateien als "not-a-virus:Adware" angezeigt, die hab ich auch gelöscht (bis auf die, die eindeutig nichts dergleichen sind).

Ist jetzt noch etwas zu tun (abgesehen von einem XP und IE Update)?
Soll ich nochmal ein HijackThis Log posten?

Poste nochmal eines rein und dann mach dich auf die Windows-Seite zum updaten ;)

So, das kam gerade raus:

Logfile of HijackThis v1.98.2
Scan saved at 22:39:05, on 15.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Pinnacle\Shared Files\remoterm.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://213.159.117.134/index.php
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\Msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\Shared Files\remoterm.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PSDrvCheck] "C:\Programme\Pinnacle\Instant PhotoAlbum\programs\PSDrvCheck.exe" -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleRemote] C:\Programme\Pinnacle\Shared Files\remoterm.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binarie...1029_EN_XP.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094209606921

Alles ok?
Ich mach jetzt schnell ein Update.