Trojaner TR/Spy.Tofger.BI.2 und TR/Dldr.Agent.BQ kommen immer wieder

#1 Hi liebe Experten,

mal wieder ein PC-Analphabet am verzweifeln! :-)
sobald ich online gehe macht mein AntiVir Guard folgende Warnungen:

Zitat

C:\WINNT\NTQV32.EXE
Ist das Trojanische Pferd TR/Spy.Tofger.BI.2

C:\WINNT\SYSTEM32\WKNYR.DLL
Ist das Trojanische Pferd TR/Dldr.Agent.BQ

wobei der Trojaner Spy.Tofger.BI.2 auch in den Dateien APPLP32.EXE, MFCEG32.EXE, APIAB32.EXE, NETGQ32.EXE, IEEO32.EXE, etc, etc zu finden ist.

Egal ob ich die Dateien lösche oder in Quarantäne stelle, diese Warnungen kommen bei jedem Öffnen eines neuen Explorer-Fensters.
Ich habe schon im abgesicherten Modus Antivir, CW-Shredder, Search&Destroy, Ad-Aware und eScan laufen lassen. Aber auch wenn sie was finden, die Trojaner gehen nicht weg!

Ich hab leider trotz aufmerksamen Lesen des Vorworts immer noch nicht kapiert, wie ich hier diese LogFile erstellen kann, um sie euch hier zu posten.

Vielen Dank für Eure Hilfe!

PS:Meine Google-Suche linkte mich nur auf weniger professionelle Foren, bei denen widersprüchliche Vorschläge gemacht wurden. Hier wurde mir schon mal toll geholfen, deswegen hoffe ich... :-)

#2 @sleepless

Anleitung HiJackthis
http://www.hjt.klaffke.de/

Dannn das Logfile hierein kopieren.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#3 Ahhh! Schon wieder was gelernt! :-)
Also hier mein LogFile:

Logfile of HijackThis v1.98.2
Scan saved at 19:48:40, on 25.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\svc8021x.exe
C:\DOKUME~1\GTZMAR~1\LOKALE~1\TEMP\_VWUPSRV.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\s3hotkey.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINNT\vcontrol.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\essspk.exe
C:\WINNT\System32\mgr8021x.exe
C:\Programme\Dienstprogramm ZyAIR USB\ZyAIR.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\atlxy.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\GTZMAR~1\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\GTZMAR~1\LOKALE~1\Temp\kavss.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\Dokumente und Einstellungen\Götz Marx\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R3 - Default URLSearchHook is missing
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {D00816BF-A740-FA16-391F-D77F19570785} - C:\WINNT\system32\apimp32.dll
O2 - BHO: (no name) - {DFD60FEB-AE42-B377-5C6B-91F2477388C9} - C:\WINNT\system32\apimp32.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Vcontrol] C:\WINNT\vcontrol.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\GTZMAR~1\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [atlxy.exe] C:\WINNT\system32\atlxy.exe
O4 - HKLM\..\RunOnce: [craq.exe] C:\WINNT\system32\craq.exe
O4 - HKLM\..\RunOnce: [ieeo32.exe] C:\WINNT\system32\ieeo32.exe
O4 - Global Startup: AEGIS Client Manager.lnk = C:\WINNT\System32\mgr8021x.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: ZyAIR USB.lnk = C:\Programme\Dienstprogramm ZyAIR USB\ZyAIR.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab

#4 @sleepless

Über prüfe bitte diese Datei
O4 - HKLM\..\Run: [Vcontrol] C:\WINNT\vcontrol.exe
hier
http://www.kaspersky.com/de/remoteviruschk.html
Wenn Virus/Malware dann den Eintrag bitte auch Fixen wie unten angegeben

Lade dir Escan
http://www.rokop-security.de/board/index.php?showtopic=3867
Installieren und updaten wie beschrieben

Eigenen Virenscanner updaten

Geh bitte in den Abgesichteren Modus
http://www.bsi.de/av/texte/winsave.htm

AB JETZT NICHT MEHR DEN INTERNET EXPLORER STARTEN

Fixe bitte folgendes in HiJackThis (ankreuzen FixChecked drücken)
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {D00816BF-A740-FA16-391F-D77F19570785} - C:\WINNT\system32\apimp32.dll
O2 - BHO: (no name) - {DFD60FEB-AE42-B377-5C6B-91F2477388C9} - C:\WINNT\system32\apimp32.dll
O4 - HKLM\..\Run: [atlxy.exe] C:\WINNT\system32\atlxy.exe
O4 - HKLM\..\RunOnce: [craq.exe] C:\WINNT\system32\craq.exe
O4 - HKLM\..\RunOnce: [ieeo32.exe] C:\WINNT\system32\ieeo32.exe
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com

Dann scannen mit Escan

Dann mit eigenem Virenscanner alle Festplatten scannen
Das dauert eine Weile

Dann neustart machen und hier nochmal das HiJackThis Logfile posten

Gruß paff
P.S. Wenn Fragen sind einfach raus damit.
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#5 Puhh.. hat ein bisserl gedauert, aber:
BIN SEIT 2 MINUTEN ONLINE, UND NOCH KEINE VIRUSWARNUNG!! *jubel* :-)

Also habe alles wie beschrieben gemacht und hier die aktuelle LogFile:

Logfile of HijackThis v1.98.2
Scan saved at 22:31:06, on 25.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\svc8021x.exe
C:\DOKUME~1\GTZMAR~1\LOKALE~1\TEMP\_VWUPSRV.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\s3hotkey.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINNT\vcontrol.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\essspk.exe
C:\WINNT\System32\mgr8021x.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Dienstprogramm ZyAIR USB\ZyAIR.exe
C:\WINNT\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Götz Marx\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Vcontrol] C:\WINNT\vcontrol.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\GTZMAR~1\LOKALE~1\Temp\mwavscan.com" /s
O4 - Global Startup: AEGIS Client Manager.lnk = C:\WINNT\System32\mgr8021x.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: ZyAIR USB.lnk = C:\Programme\Dienstprogramm ZyAIR USB\ZyAIR.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab

#6 @sleepless

Diese 3 Datei bitte noch untersuchen
C:\WINNT\System32\svc8021x.exe
C:\WINNT\System32\mgr8021x.exe
C:\DOKUME~1\GTZMAR~1\LOKALE~1\TEMP\_VWUPSRV.EXE

und zwar hier bitte
http://www.kaspersky.com/de/remoteviruschk.html
Was wird gemeldet?

Was kam bei der vcontrol.exe vorhin raus?

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#7

Zitat

C:\WINNT\System32\svc8021x.exe
C:\WINNT\System32\mgr8021x.exe

sind ok! Genauso wie vorhin auch die vcontrol.exe

Zitat

C:\DOKUME~1\GTZMAR~1\LOKALE~1\TEMP\_VWUPSRV.EXE

finde ich nicht!

Wenn ich die Ordner durchgehe, gibt es unter meinem Namen keinen Ordner namens "Lokale.." und auch unter der Such-Funktion läßt sich diese .exe-Datei nicht finden... Es gibt nur eine ähnliche Datei mit dem Namen:
AVWUPSRV.EXE, im AVPerfsonal-Ordner... (?)


Aber bisher läuft alles super!

#8 @sleepless
Bitte gib unter Start/ausführen dieses ein %temp%
Dann Öffnet sich ein Explorerfenster .
Dort mal schauen ob du die Datei findest "_VWUPSRV.EXE"

wahrscheinlich ist es aber das UpdateTool vom Antivir

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#9 Alles ok. Hab die Datei auf der kapersky-seite checken lassen... Alles OK!
Bin ich geheilt?!

Eine kleine Frage hab ich dann noch. Nachdem ich gestern die vielen Trojaner-Warnungen bekam, hab ich wohl auch des öfteren anstatt "in Quarantäne verschieben" auch einfach auf "löschen" geklickt... (mindestens Dutzendfach!)

Gestern kam dann mal beim Hochbooten die Fehlermeldung:

"Die Datei C:/WINNT/System32/crqj.exe (oder deren Komponenten) wurden nicht gefunden"

Dann kam noch eine gleiche Fehlermeldung für eine andere Datei, die ich aber ausversehen direkt weggeglickt habe ohne mitzuschreiben...

Ist das schlimm?

#10

Zitat

sleepless74 postete
Gestern kam dann mal beim Hochbooten die Fehlermeldung:

"Die Datei C:/WINNT/System32/crqj.exe (oder deren Komponenten) wurden nicht gefunden"

1. Das war aber vor der "Behandlung" hier, oder?

2. Das mit dem löschen ist OK.
Sollte das aber wieder vorkommen, muß man sich überlegen wo das herkommt.

Hier mal ein paar Sachen zum Einlesen von User "Cidre"
Punkt 2 ist für dich uninteressant da dies nur bei WInXP funktioniert

Zitat

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
4. dein System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.com/v5consumer/default.aspx
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. Deine Passwörter ändern
8. Image deiner Systempartition erstellen mit z.B. Acronis True Image 7
9. Surfverhalten überdenken

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#11 Danke Paff, werd ich mich dran halten! Vor allem Punkt 9... sagt man da nicht auch Brain2.0 ;-)

Vielen Dank, für die großartige Hilfe mal wieder! Dieses Forum ist SUPER!! :-)

#12 @sleepless74

Gut erkannt
Punkte 9 ,6 und 4 sind für dich wohl die relevaten.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#13 bitte auch um hilfe...

meine logfile:

Logfile of HijackThis v1.98.2
Scan saved at 00:48:33, on 05.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\services\msxmidi.exe
C:\WINDOWS\SOINTGR.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\javaxf32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\Programme\Mousometer\mousometer.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\Programme\Avant Browser\iexplore.exe
C:\Dokumente und Einstellungen\Simon\Desktop\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\lwigw.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\lwigw.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lwigw.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\lwigw.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll
F3 - REG:win.ini: run=C:\WINDOWS\System32\services\msxmidi.exe
O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-AB2D-8D32436313D9} - C:\WINDOWS\bsx5.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: (no name) - {A41A213E-797E-22D5-754D-958D01F18F2F} - C:\WINDOWS\system32\addkr32.dll
O2 - BHO: CExtension Object - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\bs3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [bxsx5] RunDLL32.EXE C:\WINDOWS\bsx5.dll,DllRun
O4 - HKLM\..\Run: [Bsx3] RunDLL32.EXE C:\WINDOWS\bs3.dll,DllRun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [javaxf32.exe] C:\WINDOWS\system32\javaxf32.exe
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\System32\services\msxmidi.exe
O4 - HKLM\..\RunOnce: [javawm32.exe] C:\WINDOWS\javawm32.exe
O4 - HKLM\..\RunOnce: [applb32.exe] C:\WINDOWS\system32\applb32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\System32\services\msxmidi.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Mousometer.lnk = C:\Programme\Mousometer\mousometer.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: concept/design's onlineTV - {5ED02E1F-0579-4B52-AB0D-068A901BF5CC} - C:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: AOL 7.0 - {19454A3D-27E1-4803-A857-B76F21B1680B} - C:\Programme\AOL 7.0\aol.exe (HKCU)
O9 - Extra button: MedionShop - {811DDDB7-933B-4717-8A6B-4F86A67E0F9F} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=9eafaeb2a8e2a9518112bc6e0cedee1552dd4ecb1dd748bcf1cf4d42ced1394245b14c137e17952f3a6abadc3d36297b2b37:b70ac5aa8ec48e2e58a29296baabe1d6
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.power-url.de/StarInstall.ocx
O16 - DPF: {E2F2B9D0-96B9-4B25-B90C-636ECB207D18} - http://www.whenusearch.com/WUInstSECS.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab


dankbar für jede hilfe...

#14 Hallo @Cetti
Dein PC ist verseucht. Vielleicht solltest du ueber eine Neuinstallation nachdenken.

#Wiederherstellung deaktivieren
http://www.bsi.de/av/texte/winsave.htm

Fixe mit dem HijackThis, dann neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\lwigw.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\lwigw.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lwigw.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\lwigw.dll/sp.html#29126
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll
F3 - REG:win.ini: run=C:\WINDOWS\System32\services\msxmidi.exe
O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-AB2D-8D32436313D9} - C:\WINDOWS\bsx5.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: (no name) - {A41A213E-797E-22D5-754D-958D01F18F2F} - C:\WINDOWS\system32\addkr32.dll
O2 - BHO: CExtension Object - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\bs3.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O4 - HKLM\..\Run: [bxsx5] RunDLL32.EXE C:\WINDOWS\bsx5.dll,DllRun
O4 - HKLM\..\Run: [Bsx3] RunDLL32.EXE C:\WINDOWS\bs3.dll,DllRun
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [javaxf32.exe] C:\WINDOWS\system32\javaxf32.exe
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\System32\services\msxmidi.exe
O4 - HKLM\..\RunOnce: [javawm32.exe] C:\WINDOWS\javawm32.exe
O4 - HKLM\..\RunOnce: [applb32.exe] C:\WINDOWS\system32\applb32.exe
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\System32\services\msxmidi.exe

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-do
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.power-url.d
O16 - DPF: {E2F2B9D0-96B9-4B25-B90C-636ECB207D18} - http://www.whenusearch.com/WUInstSECS.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http:


neustarten

1. Deinstalliere
C:\Programme\MSN Apps\MSN Toolbar\

2.Datentraegerbereinigung
Laufwerk C: eine Datenträgerbereinigung vornehmen.
Start > Programme > Zubehör > Systemprogramme > Datenträgerbereinigung
und
Start<Ausfuehren%temp% reinkopieren oder reinschreiben und alles loeschen

3.TemporaryIntenetfiles loeschen:
Loesche die Files mit <Winsweep<
http://www.winsweep.de/down.htm
Klicke auf die Grafik , da erscheint der Download.
Dann musst du das Tool nicht kaufen, sondern einfach ab und zu "System reinigen" anklicken.
Dann das Tool wieder aus dem Autostart nehmen
Start<Ausfuehren<msconfig<Systemstart das Haekchen vor Winsweep rausnehmen.

4. Lade den "eScan" erstelle vorher eine C:\ base und entpacke dort den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp%
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen)
#Gehe unbedingt in den abgesicherten Modus (!)
http://www.bsi.de/av/texte/winsave.htm
#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.

#Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde...denn die DIALER muessen manuellgeloescht werden (!) und das neue Log vom HijackThis noch mal. (aber mit dem IE, nicht mit dem Firefox)

Tip:
5.Aendere eventuell vorhandene Passworte
6.Lade den Browser <Firefox< und surfe nur mit ihm
http://www.firebird-browser.de/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#15 @ n0rf

Hallo,

überprüfe diese Dateien bei http://www.kaspersky.com/de/remoteviruschk.html
und poste das Ergebnis:
C:\WINDOWS\System32\w32sup.exe
C:\WINDOWS\system32\ntnc32.exe
C:\WINDOWS\msnv32.exe
C:\WINDOWS\system32\javayz32.exe
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung