wie bekomme ich Trojaner im system 32 weg ?

#1 Hallo
Vorab mal sagen möchte das ich nur einfache Anwenderin bin. Alles andere kann ich nur wenn man mir genau sagt wo ich was klicken muß. Ich hoffe das mir trotzdem jemand helfen kann.
Ich bekomme von Avast jede Menge trojanermeldung, alles EXE dateien in system 32
Bei Malware steht Win32 ProeBot- A,B oder C (immer einer dieser Buchstaben)
Wenn ich auf Informationen klicke komme ich auf eine englische Seite. Kann aber kein Englisch.
Mein Betriebssystem ist Win XP
Ich habe auch schon folgende Programme laufen lassen
PCHealth Plan im abgesicherten Modus (ging automatisch)
Registry Cleaner 32
Registry Repair Pro
waren alles selbstentpackende Programme, aber geändert hat sich nix.
Was kann ich noch versuchen ???

#2 Viren bekommst Du mit den genannten Programmen nicht weg. Dazu benötigst Du einen Virenscanner (bzw. mal einen anderen als Avast probieren)
Obwohl, ob der (noch) hilft, ist natürlich auch fraglich.

Bitte fertige ein HJT-Log an und poste es hier. Eine Anleitung findest Du hier: http://managor.de/hjt.htm
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 hier das Ergebnis

Logfile of HijackThis v1.99.1
Scan saved at 18:16:10, on 29.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\media\Eigene Dateien\Meine empfangenen Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://chat.lycos.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [OutpostFeedBack] C:\PROGRA~1\Agnitum\OUTPOS~1\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Outpost Firewall Pro-Schnelleinrichten - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\PROGRA~1\Agnitum\OUTPOS~1\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://hightower76.dyndns.org:80/activex/RACtrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{30551BA6-9CB3-461F-B409-83B3F93C1C43}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F75511A-CCC0-4020-ACDC-EED46D94FAFA}: NameServer = 217.237.150.97 217.237.149.161
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

#4 Sorry, hatte wenig Zeit, jetzt kann ich mich aber wieder kümmern.

Häkchen setzen und "fix checked" klicken:

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://hightower76.dyndns.org:80/activex/RACtrl.cab

Das wird das Virenproblem nicht lösen, der Eintrag erscheint mir aber nicht sicher, deshalb sollte er entfernt werden.
Im Autostart ist kein Virus versteckt, das ist schon mal ne gute Nachricht (wobei man nicht ausschließen kann, dass legitime Dateien infiziert wurden).

Ich benötige jetzt erstmal vier Log-Dateien. Du erstellst sie nach der Anleitung auf http://virus-protect.org/datfindbat.html
Kopiere daraus (inklusive der Pfadangabe am Anfang der Log-Datei) jeweils alle Einträge der vergangenen drei Wochen (vor jedem Dateinamen steht ein Datum) hier ins Forum.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#5 Das ist ja in Ordnung, gibt wichtigeres

Kannst du mir zu der Datei die ich löschen soll mehr sagen was das ist ???
Da ich weis wer Hightower ist würde ich gerne erst mehr wissen wenn möglich bevor ich das lösche.


Hier jetzt die log Dateien


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8865-7E6A

Verzeichnis von C:\WINDOWS\system32

29.11.2005 23:25 27.661 ljhhf.dll
29.11.2005 23:00 27.661 yayyx.dll
29.11.2005 22:36 27.661 ddcbx.dll
29.11.2005 22:30 27.661 pmkli.dll
29.11.2005 22:23 27.661 byvwx.dll
29.11.2005 22:22 236.032 wincntrl.exe
29.11.2005 18:05 8.192 kksd.exe
29.11.2005 15:53 8.192 djpeoarb.exe
29.11.2005 15:39 8.192 wvgvyls.exe
29.11.2005 14:46 8.192 amddzx.exe
29.11.2005 14:16 8.192 mgeextle.exe
27.11.2005 21:43 38.304 zfvcx.exe
27.11.2005 17:06 109.632 adshiiu.exe
27.11.2005 16:53 0 ktktvds.exe
27.11.2005 15:45 19.968 fszdvd.exe
24.11.2005 22:19 27.648 humhvxgw.exe
24.11.2005 11:47 5.618 jupdate-1.5.0_05-b05.log
24.11.2005 09:52 3.904 SysRes.exe
15.11.2005 23:15 3.002 CONFIG.NT
15.11.2005 22:43 311.740 perfh009.dat
15.11.2005 22:43 40.128 perfc009.dat
15.11.2005 22:43 316.924 perfh007.dat
15.11.2005 22:43 48.354 perfc007.dat
15.11.2005 22:43 723.744 PerfStringBackup.INI
14.11.2005 21:48 91.888 FNTCACHE.DAT
14.11.2005 21:41 1.709 INSTALL.LOG
12.11.2005 15:59 473.600 aswBoot.exe
12.11.2005 15:52 90.112 AVASTSS.scr
12.11.2005 10:40 2.206 wpa.dbl



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8865-7E6A

Verzeichnis von C:\DOKUME~1\media\LOKALE~1\Temp

30.11.2005 20:55 13.842 jusched.log
29.11.2005 23:53 49.152 ~DF413.tmp
29.11.2005 18:28 49.152 ~DF34C5.tmp
29.11.2005 15:43 49.152 ~DFE86E.tmp
29.11.2005 11:25 49.152 ~DF996E.tmp
29.11.2005 03:45 49.152 ~DFB0ED.tmp
29.11.2005 02:26 49.152 ~DF3104.tmp
28.11.2005 22:34 49.152 ~DF84D1.tmp
28.11.2005 21:09 49.152 ~DFCE13.tmp
28.11.2005 20:20 49.152 ~DF107B.tmp
28.11.2005 18:38 49.152 ~DF97F7.tmp
28.11.2005 12:22 49.152 ~DF7BB4.tmp
28.11.2005 03:34 13.874 java_install_reg.log
28.11.2005 02:00 49.152 ~DF18F7.tmp
27.11.2005 21:54 49.152 ~DF3C60.tmp
27.11.2005 20:29 49.152 ~DF1927.tmp
27.11.2005 17:06 49.152 ~DFCFAF.tmp
27.11.2005 16:37 49.152 ~DF2AF.tmp
27.11.2005 16:02 49.152 ~DF24AD.tmp
27.11.2005 09:35 49.152 ~DFE566.tmp
27.11.2005 03:54 49.152 ~DFAECB.tmp
26.11.2005 18:16 49.152 ~DF7021.tmp
26.11.2005 05:16 49.152 ~DF48E4.tmp
25.11.2005 19:33 49.152 ~DF2A36.tmp
25.11.2005 12:41 49.152 ~DF5C95.tmp
25.11.2005 00:25 49.152 ~DFFDF7.tmp
24.11.2005 22:19 49.152 ~DF54E5.tmp
24.11.2005 22:12 966.656 ~DFC4C3.tmp
24.11.2005 22:09 314 Trak.html
24.11.2005 22:05 49.152 ~DFB00.tmp
24.11.2005 21:59 901.120 ~DF50D2.tmp
24.11.2005 21:58 966.656 ~DFD4EF.tmp
24.11.2005 21:37 802.816 ~DF59BF.tmp
24.11.2005 20:47 49.152 ~DFD3DA.tmp
24.11.2005 18:17 49.152 ~DFFB0F.tmp
24.11.2005 16:17 49.152 ~DFC026.tmp
24.11.2005 11:46 70.632 java_install.log
24.11.2005 11:44 58.368 39e781.mst
24.11.2005 11:39 462 MSI3dd60.LOG
24.11.2005 11:14 462 MSId9781.LOG
24.11.2005 11:13 757 jinstall.cfg
24.11.2005 11:13 83.999 tmp-3.xpi
24.11.2005 10:52 49.152 ~DF31FF.tmp
24.11.2005 09:52 0 WERF0.tmp
22.11.2005 10:28 663 jupdate1.5.0.xml
22.11.2005 10:26 0 WER1.tmp
22.11.2005 06:24 83.999 tmp-2.xpi
22.11.2005 04:32 919.931 tmp-1.xpi
21.11.2005 23:11 73.872 fla98.tmp
21.11.2005 12:39 49.152 ~DF7B3E.tmp
20.11.2005 22:43 83.999 tmp.xpi
18.11.2005 15:48 49.152 ~DFDDD9.tmp
17.11.2005 00:58 49.152 ~DF7CC1.tmp
16.11.2005 03:56 49.152 ~DF15B1.tmp
16.11.2005 02:01 8.120 deharry.bmp
16.11.2005 02:01 21.176 deadidas.bmp
16.11.2005 02:01 8.118 doodle.bmp
16.11.2005 02:01 8.118 peanuts.bmp
16.11.2005 00:02 49.152 ~DF3A.tmp
15.11.2005 23:00 284 GLB3.ini
15.11.2005 23:00 81 outpost.ini
15.11.2005 23:00 81 GLJ5.ini
15.11.2005 22:50 3.675.976 IRD1.tmp



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8865-7E6A

Verzeichnis von C:\WINDOWS

01.12.2005 00:35 252 ODBC.INI
30.11.2005 20:56 0 0.log
30.11.2005 20:55 253.797 WindowsUpdate.log
30.11.2005 20:55 159 wiadebug.log
30.11.2005 20:55 50 wiaservc.log
30.11.2005 20:55 49 transp.gif
30.11.2005 20:54 2.048 bootstat.dat
30.11.2005 20:53 28.442 SchedLgU.Txt
30.11.2005 20:45 338.603 setupapi.log
30.11.2005 07:32 94.777 iis6.log
30.11.2005 07:32 18.610 comsetup.log
30.11.2005 07:32 9.877 ntdtcsetup.log
30.11.2005 07:32 14.784 tsoc.log
30.11.2005 07:32 1.943 imsins.log
30.11.2005 07:32 1.626 tabletoc.log
30.11.2005 07:32 4.069 netfxocm.log
30.11.2005 07:32 1.404 ocmsn.log
30.11.2005 07:32 21.583 ocgen.log
30.11.2005 07:32 1.347 msgsocm.log
30.11.2005 07:32 18.328 FaxSetup.log
30.11.2005 07:31 11.846 msmqinst.log
30.11.2005 00:30 9.728 Thumbs.db
27.11.2005 08:02 10 popcinfo.dat
24.11.2005 21:36 714 PCHP.exe.lnk
24.11.2005 11:14 3.372 mozver.dat
16.11.2005 19:01 99.970 UninstallFirefox.exe
15.11.2005 22:44 894 win.ini
15.11.2005 22:44 137 uno.ini
03.11.2005 03:41 63 WINHELP.BMK


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8865-7E6A

Verzeichnis von C:\

01.12.2005 00:41 0 sys.txt
01.12.2005 00:39 4.982 system.txt
01.12.2005 00:37 3.841 systemtemp.txt
01.12.2005 00:34 89.688 system32.txt
30.11.2005 20:54 266.981.376 hiberfil.sys
30.11.2005 20:54 301.989.888 pagefile.sys
24.11.2005 22:16 32 logerrorPCHP.txt
24.11.2005 22:09 194 boot.ini
15.11.2005 22:50 494 TDSLCheck.txt


nun bin ich gespannt was man daraus erkennen kann.

#6 Ah, ok, wenn Du ihn kennst, dann wird es wohl doch legitim sein. Es sieht für mich nur nach etwas bösartigem aus (ich weiß ja nicht, wen Du so alles kennst).

Du hast da schön was an Viren zusammengesammelt:

C:\WINDOWS\system32

29.11.2005 23:25 27.661 ljhhf.dll
29.11.2005 23:00 27.661 yayyx.dll
29.11.2005 22:36 27.661 ddcbx.dll
29.11.2005 22:30 27.661 pmkli.dll
29.11.2005 22:23 27.661 byvwx.dll
29.11.2005 22:22 236.032 wincntrl.exe
29.11.2005 18:05 8.192 kksd.exe
29.11.2005 15:53 8.192 djpeoarb.exe
29.11.2005 15:39 8.192 wvgvyls.exe
29.11.2005 14:46 8.192 amddzx.exe
29.11.2005 14:16 8.192 mgeextle.exe
27.11.2005 21:43 38.304 zfvcx.exe
27.11.2005 17:06 109.632 adshiiu.exe
27.11.2005 16:53 0 ktktvds.exe
27.11.2005 15:45 19.968 fszdvd.exe
24.11.2005 22:19 27.648 humhvxgw.exe
24.11.2005 09:52 3.904 SysRes.exe
12.11.2005 15:59 473.600 aswBoot.exe

Ich vermute, wir brauchen einen etwas längeren Zeitraum als die letzten drei Wochen. Also bitte aus der Datei C:\system32.txt die Einträge ab Oktober 2005 hier reinkopieren.

Nachtrag: Und einen Scan mit eScanCheck bitte (Anleitung u. Download: http://managor.de/escan.htm)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#7 Gar nicht daran denken darf wie lange das dauern würde bei eine Platte mit 80 GB. Wo er hier für 4 GB schon 1 STD .gebraucht hat, weil ich nicht weis wie das mit dem abgesicherten Modus geht.


--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Thu Dec 01 05:20:03 2005 => File C:\WINDOWS\system32\pmkli.dll infected by "Trojan-Downloader.Win32.Agent.aaj" Virus! Action Taken: No Action Taken.
2: Thu Dec 01 05:21:05 2005 => File C:\WINDOWS\system32\wincntrl.exe infected by "Backdoor.Win32.Rbot.ahp" Virus! Action Taken: No Action Taken.
3: Thu Dec 01 05:21:28 2005 => File C:\WINDOWS\System32\pmkli.dll infected by "Trojan-Downloader.Win32.Agent.aaj" Virus! Action Taken: No Action Taken.
4: Thu Dec 01 05:22:08 2005 => File C:\WINDOWS\system32\wincntrl.exe infected by "Backdoor.Win32.Rbot.ahp" Virus! Action Taken: No Action Taken.
5: Thu Dec 01 05:22:29 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
6: Thu Dec 01 05:22:29 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
7: Thu Dec 01 05:22:31 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
8: Thu Dec 01 05:23:29 2005 => File C:\WINDOWS\System32\adshiiu.exe infected by "Backdoor.Win32.PoeBot.d" Virus! Action Taken: No Action Taken.
9: Thu Dec 01 05:23:39 2005 => File C:\WINDOWS\System32\byvwx.dll infected by "Trojan-Downloader.Win32.Agent.aaj" Virus! Action Taken: No Action Taken.
10: Thu Dec 01 05:24:02 2005 => File C:\WINDOWS\System32\ddcbx.dll infected by "Trojan-Downloader.Win32.Agent.aaj" Virus! Action Taken: No Action Taken.
11: Thu Dec 01 05:24:29 2005 => File C:\WINDOWS\System32\fszdvd.exe infected by "Backdoor.Win32.PoeBot.d" Virus! Action Taken: No Action Taken.
12: Thu Dec 01 05:24:37 2005 => File C:\WINDOWS\System32\humhvxgw.exe infected by "Backdoor.Win32.PoeBot.b" Virus! Action Taken: No Action Taken.
13: Thu Dec 01 05:25:03 2005 => File C:\WINDOWS\System32\ljhhf.dll infected by "Trojan-Downloader.Win32.Agent.aaj" Virus! Action Taken: No Action Taken.
14: Thu Dec 01 05:27:35 2005 => File C:\WINDOWS\System32\yayyx.dll infected by "Trojan-Downloader.Win32.Agent.aaj" Virus! Action Taken: No Action Taken.
15: Thu Dec 01 05:27:35 2005 => File C:\WINDOWS\System32\zfvcx.exe infected by "Backdoor.Win32.PoeBot.d" Virus! Action Taken: No Action Taken.
16: Thu Dec 01 06:03:02 2005 => File C:\WINDOWS\system32\adshiiu.exe infected by "Backdoor.Win32.PoeBot.d" Virus! Action Taken: No Action Taken.
17: Thu Dec 01 06:03:13 2005 => File C:\WINDOWS\system32\byvwx.dll infected by "Trojan-Downloader.Win32.Agent.aaj" Virus! Action Taken: No Action Taken.
18: Thu Dec 01 06:03:42 2005 => File C:\WINDOWS\system32\ddcbx.dll infected by "Trojan-Downloader.Win32.Agent.aaj" Virus! Action Taken: No Action Taken.
19: Thu Dec 01 06:10:41 2005 => File C:\WINDOWS\system32\fszdvd.exe infected by "Backdoor.Win32.PoeBot.d" Virus! Action Taken: No Action Taken.
20: Thu Dec 01 06:10:50 2005 => File C:\WINDOWS\system32\humhvxgw.exe infected by "Backdoor.Win32.PoeBot.b" Virus! Action Taken: No Action Taken.
21: Thu Dec 01 06:11:17 2005 => File C:\WINDOWS\system32\ljhhf.dll infected by "Trojan-Downloader.Win32.Agent.aaj" Virus! Action Taken: No Action Taken.
22: Thu Dec 01 06:14:37 2005 => File C:\WINDOWS\system32\yayyx.dll infected by "Trojan-Downloader.Win32.Agent.aaj" Virus! Action Taken: No Action Taken.
23: Thu Dec 01 06:14:37 2005 => File C:\WINDOWS\system32\zfvcx.exe infected by "Backdoor.Win32.PoeBot.d" Virus! Action Taken: No Action Taken.
24: Thu Dec 01 06:14:38 2005 => File C:\WINDOWS\Temp\drev.exe infected by "Trojan-Downloader.Win32.Adload.j" Virus! Action Taken: No Action Taken.

--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------

1: Thu Dec 01 05:22:59 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" refers to invalid object "C:\WINDOWS\System32\cmmgr32.exe". Action Taken: No Action Taken.
2: Thu Dec 01 05:23:00 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\Netscape.exe" refers to invalid object "C:\Programme\Netscape\Communicator\Program\netscape.exe". Action Taken: No Action Taken.
3: Thu Dec 01 05:23:00 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\PowerStarter" refers to invalid object "". Action Taken: No Action Taken.
4: Thu Dec 01 05:23:03 2005 => Entry "HKCR\CLSID\{390CE9F2-C4A0-11D4-8A92-0090271D4F88}" refers to invalid object "C:\PROGRA~1\Yahoo!\MESSEN~1\ycrwin32.dll". Action Taken: No Action Taken.
5: Thu Dec 01 05:23:03 2005 => Entry "HKCR\CLSID\{41695A8E-6414-11D4-8FB3-00D0B7730277}" refers to invalid object "C:\Programme\Yahoo!\Messenger\asw.dll". Action Taken: No Action Taken.
6: Thu Dec 01 05:23:04 2005 => Entry "HKCR\CLSID\{60403D81-872B-11CF-ACC8-0080C82BE3B6}" refers to invalid object "C:\PROGRA~1\Netscape\COMMUN~1\Program\netscape.exe". Action Taken: No Action Taken.
7: Thu Dec 01 05:23:04 2005 => Entry "HKCR\CLSID\{61D8DE20-CA9A-11CE-9EA5-0080C82BE3B6}" refers to invalid object "C:\PROGRA~1\Netscape\COMMUN~1\Program\netscape.exe". Action Taken: No Action Taken.
8: Thu Dec 01 05:23:04 2005 => Entry "HKCR\CLSID\{6AE4CC6E-999C-11D4-A3F0-009027427750}" refers to invalid object "C:\Programme\Yahoo!\Messenger\yauto.dll". Action Taken: No Action Taken.
9: Thu Dec 01 05:23:08 2005 => Entry "HKCR\CLSID\{E328732C-9DC9-11CF-92D0-004095E27A10}" refers to invalid object "C:\PROGRA~1\Netscape\COMMUN~1\Program\netscape.exe". Action Taken: No Action Taken.
10: Thu Dec 01 05:23:08 2005 => Entry "HKCR\CLSID\{E67D6A10-4438-11CE-8CE4-0020AF18F905}" refers to invalid object "C:\PROGRA~1\Netscape\COMMUN~1\Program\netscape.exe". Action Taken: No Action Taken.
11: Thu Dec 01 05:23:09 2005 => Entry "HKCR\CLSID\{EF5F7050-385A-11CE-8193-0020AF18F905}" refers to invalid object "C:\PROGRA~1\Netscape\COMMUN~1\Program\netscape.exe". Action Taken: No Action Taken.
12: Thu Dec 01 05:23:10 2005 => Entry "HKCR\TypeLib\{390CE9E4-C4A0-11D4-8A92-0090271D4F88}" refers to invalid object "C:\Programme\Yahoo!\Messenger\ycrwin32.dll". Action Taken: No Action Taken.
13: Thu Dec 01 05:23:10 2005 => Entry "HKCR\TypeLib\{41695A81-6414-11D4-8FB3-00D0B7730277}" refers to invalid object "C:\Programme\Yahoo!\Messenger\asw.dll". Action Taken: No Action Taken.
14: Thu Dec 01 05:23:10 2005 => Entry "HKCR\TypeLib\{6AE4CC61-999C-11D4-A3F0-009027427750}" refers to invalid object "C:\Programme\Yahoo!\Messenger\yauto.dll". Action Taken: No Action Taken.
15: Thu Dec 01 05:23:10 2005 => Entry "HKCR\.csk" refers to invalid object "cskfile". Action Taken: No Action Taken.
16: Thu Dec 01 05:23:12 2005 => Entry "HKCR\Connection Manager Profile\shell\open\command" refers to invalid object "C:\WINDOWS\System32\CMMGR32.EXE "%1"". Action Taken: No Action Taken.
17: Thu Dec 01 05:23:15 2005 => Entry "HKCR\pjsfile\shell\open\command" refers to invalid object "C:\PROGRA~1\Netscape\COMMUN~1\Program\Netscape.exe". Action Taken: No Action Taken.
18: Thu Dec 01 05:23:15 2005 => Entry "HKCR\Plenoptic.Plenoptic" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.
19: Thu Dec 01 05:23:15 2005 => Entry "HKCR\Plenoptic.Plenoptic.1" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.
20: Thu Dec 01 05:23:16 2005 => Entry "HKCR\tjsfile\shell\open\command" refers to invalid object "C:\PROGRA~1\Netscape\COMMUN~1\Program\Netscape.exe". Action Taken: No Action Taken.
21: Thu Dec 01 05:23:16 2005 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.
22: Thu Dec 01 05:23:16 2005 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.
23: Thu Dec 01 05:30:38 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YPE52NSJ\drsmartload[1].exe: Scanning Failure!!!
24: Thu Dec 01 05:30:38 2005 => ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YPE52NSJ\drsmartload[1].exe
25: Thu Dec 01 05:50:43 2005 => Result: ERROR!!! File C:\System Volume Information\_restore{BA6D5661-9D70-4184-86F9-56B8568AB32B}\RP37\A0009837.exe: Scanning Failure!!!
26: Thu Dec 01 05:50:43 2005 => ERROR!!! ScanFile fails for C:\System Volume Information\_restore{BA6D5661-9D70-4184-86F9-56B8568AB32B}\RP37\A0009837.exe
27: Thu Dec 01 05:50:50 2005 => Result: ERROR!!! File C:\System Volume Information\_restore{BA6D5661-9D70-4184-86F9-56B8568AB32B}\RP37\A0009838.exe: Scanning Failure!!!
28: Thu Dec 01 05:50:50 2005 => ERROR!!! ScanFile fails for C:\System Volume Information\_restore{BA6D5661-9D70-4184-86F9-56B8568AB32B}\RP37\A0009838.exe
29: Thu Dec 01 05:51:06 2005 => Result: ERROR!!! File C:\System Volume Information\_restore{BA6D5661-9D70-4184-86F9-56B8568AB32B}\RP37\A0011891.exe: Scanning Failure!!!
30: Thu Dec 01 05:51:06 2005 => ERROR!!! ScanFile fails for C:\System Volume Information\_restore{BA6D5661-9D70-4184-86F9-56B8568AB32B}\RP37\A0011891.exe

--------------------------------------------------
-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------

1: C:\WINDOWS\system32\pmkli.dll => Trojan-Downloader.Win32.Agent.aaj
2: C:\WINDOWS\system32\wincntrl.exe => Backdoor.Win32.Rbot.ahp
3: C:\WINDOWS\System32\pmkli.dll => Trojan-Downloader.Win32.Agent.aaj
4: C:\WINDOWS\System32\adshiiu.exe => Backdoor.Win32.PoeBot.d
5: C:\WINDOWS\System32\byvwx.dll => Trojan-Downloader.Win32.Agent.aaj
6: C:\WINDOWS\System32\ddcbx.dll => Trojan-Downloader.Win32.Agent.aaj
7: C:\WINDOWS\System32\fszdvd.exe => Backdoor.Win32.PoeBot.d
8: C:\WINDOWS\System32\humhvxgw.exe => Backdoor.Win32.PoeBot.b
9: C:\WINDOWS\System32\ljhhf.dll => Trojan-Downloader.Win32.Agent.aaj
10: C:\WINDOWS\System32\yayyx.dll => Trojan-Downloader.Win32.Agent.aaj
11: C:\WINDOWS\System32\zfvcx.exe => Backdoor.Win32.PoeBot.d
12: C:\WINDOWS\system32\adshiiu.exe => Backdoor.Win32.PoeBot.d
13: C:\WINDOWS\system32\byvwx.dll => Trojan-Downloader.Win32.Agent.aaj
14: C:\WINDOWS\system32\ddcbx.dll => Trojan-Downloader.Win32.Agent.aaj
15: C:\WINDOWS\system32\fszdvd.exe => Backdoor.Win32.PoeBot.d
16: C:\WINDOWS\system32\humhvxgw.exe => Backdoor.Win32.PoeBot.b
17: C:\WINDOWS\system32\ljhhf.dll => Trojan-Downloader.Win32.Agent.aaj
18: C:\WINDOWS\system32\yayyx.dll => Trojan-Downloader.Win32.Agent.aaj
19: C:\WINDOWS\system32\zfvcx.exe => Backdoor.Win32.PoeBot.d
20: C:\WINDOWS\Temp\drev.exe => Trojan-Downloader.Win32.Adload.j

--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------

Thu Dec 01 06:14:52 2005 => Total Objects Scanned: 50158
Thu Dec 01 06:14:52 2005 => Total Virus(es) Found: 24
Thu Dec 01 06:14:52 2005 => Total Errors: 26
Thu Dec 01 06:14:52 2005 => Virus Database Date: 2005/11/28
Thu Dec 01 06:14:52 2005 => Virus Database Count: 161878



und hier das andere


31.10.2005 23:21 1.228 DeIsL1.isu
13.10.2005 00:11 118.784 sirenacm.dll
03.10.2005 23:10 0 h323log.txt
03.10.2005 22:38 25.065 wmpscheme.xml
03.10.2005 22:35 261 $winnt$.inf
03.10.2005 22:24 16.832 amcompat.tlb
03.10.2005 22:24 23.392 nscompat.tlb
03.10.2005 22:21 488 WindowsLogon.manifest
03.10.2005 22:21 488 logonui.exe.manifest
03.10.2005 22:20 749 wuaucpl.cpl.manifest
03.10.2005 22:20 749 cdplayer.exe.manifest
03.10.2005 22:20 749 sapi.cpl.manifest
03.10.2005 22:20 749 nwc.cpl.manifest
03.10.2005 22:20 749 ncpa.cpl.manifest
03.10.2005 22:16 21.740 emptyregdb.dat
26.08.2005 18:14 127.078 javaws.exe
26.08.2005 18:14 49.265 jpicpl32.cpl
26.08.2005 15:55 49.250 javaw.exe
26.08.2005 15:55 49.248 java.exe
26.05.2005 04:16 1.343.768 wuaueng.dll
26.05.2005 04:16 173.536 wuweb.dll
26.05.2005 04:16 18.200 wups2.dll
26.05.2005 04:16 41.240 wups.dll
26.05.2005 04:16 75.544 cdm.dll
26.05.2005 04:16 198.424 iuengine.dll
26.05.2005 04:16 124.696 wuauclt.exe
26.05.2005 04:16 466.200 wuapi.dll
26.05.2005 04:16 194.840 wuaueng1.dll
26.05.2005 04:16 128.280 wucltui.dll
26.05.2005 04:16 174.872 wuauclt1.exe
26.05.2005 04:16 174.872 wuaucpl.cpl
23.05.2005 17:09 82.432 msxml4r.dll
23.05.2005 17:09 44.544 msxml4a.dll
23.05.2005 17:09 1.233.920 msxml4.dll
23.05.2005 17:09 1.645.320 gdiplus.dll
23.05.2005 17:09 198.144 _psisdecd.dll
31.03.2005 16:59 7.912 ractrlkeyhook.dll
09.01.2004 11:13 380.928 actskin4.ocx

#8 Ok, dann die von eScanCheck zum Löschen vorgeschlagenen Dateien löschen lassen (oder im folgenden Schritt mit Killbox löschen).

Lösche mit Killbox (http://managor.de/killbox.htm):

c:\windows\system32\aswBoot.exe
c:\windows\system32\SysRes.exe
c:\windows\system32\ktktvds.exe
c:\windows\system32\kksd.exe
c:\windows\system32\djpeoarb.exe
c:\windows\system32\wvgvyls.exe
c:\windows\system32\amddzx.exe
c:\windows\system32\mgeextle.exe

Dann mache einen Scan mit Ewido und reinige das, was er noch findet.
http://virus-protect.org/ewido.html

Ich hoffe mal, dass das so klappt.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#9 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8865-7E6A

Verzeichnis von C:\WINDOWS\system32

01.12.2005 14:52 234.196 drsenh.dll
01.12.2005 14:52 235.492 n6r2lg9o16.dll
01.12.2005 13:36 235.953 hrj6051se.dll
01.12.2005 12:31 234.196 hr8s05l7e.dll
01.12.2005 12:30 3.002 CONFIG.NT
01.12.2005 06:36 27.661 nnllj.dll
01.12.2005 06:23 561.204 efeby.dll
29.11.2005 23:25 27.661 ljhhf.dll
29.11.2005 23:00 27.661 yayyx.dll
29.11.2005 22:36 27.661 ddcbx.dll
29.11.2005 22:30 27.661 pmkli.dll
29.11.2005 22:23 27.661 byvwx.dll
27.11.2005 21:43 38.304 zfvcx.exe
27.11.2005 17:06 109.632 adshiiu.exe
27.11.2005 15:45 19.968 fszdvd.exe
24.11.2005 22:19 27.648 humhvxgw.exe
24.11.2005 11:47 5.618 jupdate-1.5.0_05-b05.log
15.11.2005 22:43 311.740 perfh009.dat
15.11.2005 22:43 40.128 perfc009.dat
15.11.2005 22:43 316.924 perfh007.dat
15.11.2005 22:43 48.354 perfc007.dat
15.11.2005 22:43 723.744 PerfStringBackup.INI
14.11.2005 21:48 91.888 FNTCACHE.DAT
14.11.2005 21:41 1.709 INSTALL.LOG
12.11.2005 15:59 473.600 aswBoot.exe
12.11.2005 15:52 90.112 AVASTSS.scr
12.11.2005 10:40 2.206 wpa.dbl
31.10.2005 23:21 1.228 DeIsL1.isu
13.10.2005 00:11 118.784 sirenacm.dll
03.10.2005 23:10 0 h323log.txt
03.10.2005 22:38 25.065 wmpscheme.xml
03.10.2005 22:35 261 $winnt$.inf
03.10.2005 22:24 16.832 amcompat.tlb
03.10.2005 22:24 23.392 nscompat.tlb
03.10.2005 22:21 488 logonui.exe.manifest
03.10.2005 22:21 488 WindowsLogon.manifest
03.10.2005 22:20 749 cdplayer.exe.manifest
03.10.2005 22:20 749 wuaucpl.cpl.manifest
03.10.2005 22:20 749 nwc.cpl.manifest
03.10.2005 22:20 749 sapi.cpl.manifest
03.10.2005 22:20 749 ncpa.cpl.manifest
03.10.2005 22:16 21.740 emptyregdb.dat
26.08.2005 18:14 127.078 javaws.exe
26.08.2005 18:14 49.265 jpicpl32.cpl
26.08.2005 15:55 49.250 javaw.exe
26.08.2005 15:55 49.248 java.exe

#10 Ne, das nützt nichts... ich kann hier nur noch zum Formatieren raten. Alles, was entfernt wurde, ist wieder da.

Steige nach dem Formatieren auf AntiVir um (ist m.E. der bessere Virenscanner) und statt Outpost die Firewall von Sygate. (Links und andere Infos unter http://managor.de/absichern.htm)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#11 Hi,bin neu hier und hab mich extra wegen diesem thread angemeldet.
hatte das selbe problem ,allerdings mit einer ausnahme:
bevor der trojaner angefangen hat mit mir seine spielchen zu spielen(internetblock,bootprobleme) habe ichmein system auf 2gb ram erhöht und seit gestern imer herum gesteckt ,da ichdachte dass es daran läge.
Ich habe dann bemerkt,dass meine Sygate Firewall aus dem tray war und die dateien komplett beschädigt.nach neuinstallation dieser konnte ich endlich wieder ins netz (hab die aggressive datei geblockt)und hab mir das microsoft antispywaretool runter geladen.
es ist schnell und gut.
Microsoft Antispywaretool & Sygate Personal Firewall sind nur zu empfehlen.

#12 Hallo

Danke für die Mitteilung
Aber ich bin nur einfache Anwenderin.wenn man mir aber etwas genauer sagt wie und was schaff ich das schon wie im Thread zu ersehen ist.
Nur mit dem Antispywaretool hast du alles wegbekommen ???
Hast du vielleicht einenLink wo ich diese Tools runterladen kann ???
Ich hoffe die Proggis sind in Deutsch, ich kann nämlich kein englisch.

schonmal vielen Dank sage
MHT[/i][/b]

#13 Ich hab jetzt keinen downloadlink aber google wird den schon finden.
die meisten tools sind nunmal englisch und ohne diese kenntnisse hast probleme im netz...
bei mir war es rlativ einfach es wegzumachen,da ichs früh erkannt hab und es sich nicht auf andere anwendungen ausgebreitet hat.
rüher hat ich ein ähnliches problem aber das war enorm schwer es wegzubekommen.
ich musste ständig immunisieren mit nem antivir und dann von hand alles aus der registry löschen ,was damit zu tun hatte.dan endlich konnte ich die betroffenen dateien endlich löschen.es war ziemlich anstrengend,man muss eben alles ausprobieren.