Trojanisches Pferd /Buddy.f Bekomme ihn nicht weg

#16 Hallo@Dsching

Fixe mit dem HijackTHis;

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nba.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS2\Nail.exe
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKLM\..\Run: [qxhnpl] c:\windows2\system32\lsaeda.exe r
O15 - Trusted Zone: http://www.windowsupdate.com
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/platypus/miniclipGameLoader.dll

PC neustarten

Zitat

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

loeschen:
c:\windows2\system32\lsaeda.exe
C:\WINDOWS2\System32\CQFSXJZ.EXE
C:\WINDOWS2\Nail.exe
c:\windows2\system32\mslaugh.exe
c:\windows2\system32\eaystix.exe
C:\Windows\Downloaded Program Files\miniclipGameLoader.dll

C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\JHO\aurareco.exe
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\OFC\aurareco.exe
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\PCB\aurareco.exe

C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5/49AB8DEF/aurora[1].exe

gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Hallo,

kann mir jemand helfen???
Ich denke meine Kiste ist total verseucht.
AntiVir meldet in einer Tour!!!
Kann jemand mit meinem Logfile was anfangen??

Logfile of HijackThis v1.99.1
Scan saved at 14:38:31, on 12.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
c:\windows\system32\lvuvnl.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\eDonkey2000\edonkey2000.exe
C:\WINDOWS\system32\P2P Networking\P2P Networking.exe
C:\Program Files\Altnet\Points Manager\Points Manager.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\firebird\bin\ibguard.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\firebird\bin\ibserver.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\msimn.exe
D:\Download\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50193
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\Programme\DAP\DAPIEBar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programme\INSTAFINK\instafink.dll
O2 - BHO: Erinnerungsassistent - {63983FD2-298E-40B0-A246-D32FD0C9CACD} - C:\Programme\mediaBEAM\Erinnerungsassistent\eaiext.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eDonkey2000] "C:\Programme\eDonkey2000\edonkey2000.exe" -t
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\Kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [gjluyrl] c:\windows\system32\lvuvnl.exe r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Telefonbieten - {22A2519A-4093-4487-B932-313C969360DC} - C:\Programme\mediaBEAM\Erinnerungsassistent\eaiext.dll
O9 - Extra 'Tools' menuitem: per Telefon bieten... - {22A2519A-4093-4487-B932-313C969360DC} - C:\Programme\mediaBEAM\Erinnerungsassistent\eaiext.dll
O9 - Extra button: Erinnerungsassistent - {5D739D65-9CDF-4783-AD0E-C2166615787F} - C:\Programme\mediaBEAM\Erinnerungsassistent\eaiext.dll
O9 - Extra 'Tools' menuitem: per SMS erinnern... - {5D739D65-9CDF-4783-AD0E-C2166615787F} - C:\Programme\mediaBEAM\Erinnerungsassistent\eaiext.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: eBay Deutschland - {C38AA9D7-640A-4e42-A1E8-F4F284A66592} - C:\Programme\mediaBEAM\Erinnerungsassistent\eaiext.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F80DEE3A-1D76-42EF-95EC-84B770162BEE}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Autodata Limited License Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - FirebirdSQL Project - C:\Programme\firebird\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - FirebirdSQL Project - C:\Programme\firebird\bin\ibserver.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

#18 @sabina:
ich habe jetzt alles gefixt und hier is der bericht von rkfiles:

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS2\system32\pfopaf.exe: UPX!
C:\WINDOWS2\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS2\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
C:\WINDOWS2\system32\pfopaf.exe: UPX!
Files Found in all users windows Folder............
------------------------
C:\WINDOWS2\daemon.dll: UPX!
Finished
bye

aber die dateien die ich löschen soll hab ich gesucht aber nicht gefunden.

#19 Auch ich habe ein Trojanisches Pferd Buddy.F Die Datei die immer bei der Meldung steht ist C:\WINDOWS\TFNXWZHCZF.EXE
Meine HiJackthis Daten sind:

Logfile of HijackThis v1.99.1
Scan saved at 15:27:31, on 12.06.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
c:\windows\system32\kdtgly.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Belzebub\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.google.de/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: VBRunDLL Class - {197B8CA4-E215-46DD-8F33-E0544A80E5C4} - C:\WINDOWS\System32\vbrundll.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\System32\nsp26.dll
O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINDOWS\System32\nso9E.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [regsync] C:\WINDOWS\System32\regsync.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ErrorGuard] C:\Programme\ErrorGuard\ErrorGuard.Exe
O4 - HKLM\..\Run: [mnitan] c:\windows\system32\kdtgly.exe r
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.bestcounter.biz
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 195.95.218.170
O15 - Trusted IP range: 195.95.218.170 (HKLM)
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - h**p://www.errorguard.com/installation/Install.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DDA24AC-21E5-463F-8748-F9C74C1D0754}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{95AFC722-0AE9-47EC-BD47-7C222C3DF0E7}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DDA24AC-21E5-463F-8748-F9C74C1D0754}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0DDA24AC-21E5-463F-8748-F9C74C1D0754}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE


Wer immer mir auch hilft, ist meiner Dankbarkeit sicher

Eine weitere Meldung ist jetzt
C:\WINDOWS\SYSTEM32\DRPMON.DLL
Ist das Trojanische Pferd TR/Click.Age.DB.Dll

Kack* Leute, noch ein neuer Bericht:
C:\SYSTEM VOLUME INFORMATION\_RESTORE{55C67D2B-2BEF-4F60-BEA4-4411DD85163B}\RP19\A0004053.EXE
Ist das Trojanische Pferd TR/Qhost.N.1

Helft mir schnell, es kommen immer mehr
Bin zwar erst mal bis Freitag auf Klassenfahrt, freue mich aber trotzdem auf schnelle Hilfe!!

#20 Hallo@Dsching

loesche ;C:\WINDOWS2\system32\pfopaf.exe

dann poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Hallo@Erwin

Nail.exe/Software-aurora /Sahagent
http://bilder.informationsarchiv.net/Nikitas_Tools/Find_It__s.zip
Lade:Find_It__s.zip-->klicke FindIt's.bat--> wenn der Editor sich oeffnet, kopiere den Text ab und poste ihn
http://bilder.informationsarchiv.net/Nikitas_Tools/Find_It__s.zip

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

Poste bitte das Log vom Scann
-------------------------------------------------------------------------------------

Oeffne den Editor und kopiere rein:


@ECHO OFF
cd\windows
Nail.exe /FULLREMOVE
sc config SvcProc start= disabled
sc stop SvcProc
sc delete SvcProc
attrib -s -r -h nail.exe
attrib -s -r -h svcproc.exe
del nail.exe
del svcproc.exe
exit


abspeichern als remove.bat 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. boote den PC in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt) und klicke die remove.bat


•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

C:\Programme\INSTAFINK\instafink.dll
C:\Programme\INSTAFINK\InstaFinderK_inst.exe
c:\windows\system32\lvuvnl.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil
C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll
C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll
C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll
C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll
C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll
C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe
C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\WINDOWS\Temp\Altnet\Setup.exe
C:\WINDOWS\Temp\Altnet\adm4.dll
C:\WINDOWS\Temp\Altnet\adm25.dll
C:\WINDOWS\Temp\Altnet\adm.exe
C:\WINDOWS\Temp\Altnet\admprog.dll
C:\program files\Altnet\Download Manager\asmps.dll
C:\program files\Altnet\Download Manager\adm4.dll
C:\program files\Altnet\Download Manager\adm4005.exe
C:\program files\Altnet\Download Manager\admdata.dll
C:\program files\Altnet\Download Manager\admdloader.dll
C:\program files\Altnet\Download Manager\admfdi.dll
C:\program files\Altnet\Download Manager\admprog.dll
C:\program files\Altnet\Download Manager\asm.exe
C:\program files\Altnet\Download Manager\asmend.exe
C:\program files\Altnet\Download Manager\adm25.dll
C:\program files\Altnet\Points Manager\Points Manager.exe
C:\program files\Altnet\Points Manager\sysdetect.dll
C:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll
C:\Programme\Gemeinsame Dateien\CMEII\GController.dll
C:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll
C:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll
C:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll
C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll
C:\Programme\Gemeinsame Dateien\CMEII\GObjs.dll
C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll
C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll
C:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

PC neustarten

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html




oeffne HijackThis, click Config, click Misc Tools
Click "Open Uninstall Manager"
Click "Save List" (generates uninstall_list.txt)
Click Save, copy and paste the results in your next post.

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50193
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\Programme\DAP\DAPIEBar.dll
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programme\INSTAFINK\instafink.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eDonkey2000] "C:\Programme\eDonkey2000\edonkey2000.exe" -t
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\Kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [gjluyrl] c:\windows\system32\lvuvnl.exe r
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

PC neustarten

deinstallieren
C:\Programme\DAP
C:\WINDOWS\system32\P2P Networking
C:\Programme\Kazaa\Kazaa.exe

loeschen:
C:\Programme\Gemeinsame Dateien\CMEII
C:\Programme\Gemeinsame Dateien\GMT
C:\Program Files\Altnet\Points Manager
C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Temp\__unin__.exe
C:\WINDOWS\Temp\Altnet\
C:\Program Files\Altnet\

laden+ scannen
http://virus-protect.org/antivirenfree.html
Emsisoft/de/software/free

poste mir dann den Scanreport , bitte + das neue Log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit

#22 Hallo@Tarantine

Nail.exe/Software-aurora /Sahagent
http://bilder.informationsarchiv.net/Nikitas_Tools/Find_It__s.zip
Lade:Find_It__s.zip-->klicke FindIt's.bat--> wenn der Editor sich oeffnet, kopiere den Text ab und poste ihn
http://bilder.informationsarchiv.net/Nikitas_Tools/Find_It__s.zip

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

Poste bitte das Log vom Scann
-------------------------------------------------------------------------------------

Oeffne den Editor und kopiere rein:


@ECHO OFF
cd\windows
Nail.exe /FULLREMOVE
sc config SvcProc start= disabled
sc stop SvcProc
sc delete SvcProc
attrib -s -r -h nail.exe
attrib -s -r -h svcproc.exe
del nail.exe
del svcproc.exe
exit


abspeichern als remove.bat 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. boote den PC in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt) und klicke die remove.bat

------------------------------------------------------------------------

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

C:\WINDOWS\System32\vbrundll.dll
C:\WINDOWS\System32\nsp26.dll
C:\WINDOWS\System32\nso9E.dll
C:\WINDOWS\Nail.exe
C:\Programme\ErrorGuard\ErrorGuard.Exe
C:\WINDOWS\Downloaded Program Files\Install.dll
C:\Install.cab
c:\windows\system32\kdtgly.exe
C:\WINDOWS\TFNXWZHCZF.EXE
C:\WINDOWS\System32\regsync.exe

PC neustarten

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: VBRunDLL Class - {197B8CA4-E215-46DD-8F33-E0544A80E5C4} - C:\WINDOWS\System32\vbrundll.dll
O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\System32\nsp26.dll
O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINDOWS\System32\nso9E.dll
O4 - HKLM\..\Run: [regsync] C:\WINDOWS\System32\regsync.exe
O4 - HKLM\..\Run: [ErrorGuard] C:\Programme\ErrorGuard\ErrorGuard.Exe
O4 - HKLM\..\Run: [mnitan] c:\windows\system32\kdtgly.exe r
O15 - Trusted Zone: *.bestcounter.biz
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 195.95.218.170
O15 - Trusted IP range: 195.95.218.170 (HKLM)
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - h**p://www.errorguard.com/installation/Install.cab

PC neustarten

laden+ scannen

http://virus-protect.org/antivirenfree.html
Emsisoft/de/software/free

poste mir dann den Scanreport , bitte + das neue Log vom HijackTHis

-------------------

INFO:
AdWare.SafeSurfing.i
C:\WINDOWS\System32\regsync.exe

Scanner results
AntiVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found not-a-virus:AdWare.SafeSurfing.i
mks_vir
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
VBA32
Found nothing
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Hallo Sabina,

hier erst mal der Text von Find It_s:

Microsoft Windows XP [Version 5.1.2600]
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Dont delete file's in the section without guidance
If any doubt back them up first

* UPX! C:\WINDOWS\System32\VGDQKX.EXE

»»»»» lagitamate file's can/will show in this section.

* UPX! C:\WINDOWS\System32\DXDBGRID.DLL
* UPX! C:\WINDOWS\System32\DXEDITRS.DLL
* UPX! C:\WINDOWS\System32\DXPSYSTM.DLL
»»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»» Checking Windir\svcproc.exe and nail.exe.

Nail.exe
»»»»» Checking for System32\DrPMon.dll.

»»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7

Verzeichnis von C:\WINDOWS\SYSTEM32

»»»»» Checking for SAHAgent ico files.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7

Verzeichnis von C:\WINDOWS\system32

23.03.2003 13:38 1.758 OemLinkIcon.ico
24.06.2004 16:34 2.238 powerquest.ico
2 Datei(en) 3.996 Bytes
0 Verzeichnis(se), 89.420.312.576 Bytes frei

»»»»»»»»»»»»»»»»»»»»»»»».


! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\aurora

Danke schon mal vorab

#24 Hallo@Erwin

1. Gehe in die Registry

Start-->Ausfuehren--> regedit

HKEY_CURRENT_USER\Software\aurora<--loeschen

falls es noch da ist:loesche nur: C:\WINDOWS\Nail.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe" C:\WINDOWS\Nail.exe

2.•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

C:\WINDOWS\System32\VGDQKX.EXE

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "yes"

PC neustarten

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

laden+ scannen
http://virus-protect.org/antivirenfree.html
Emsisoft/de/software/free

poste mir dann den Scanreport , bitte + das neue Log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit

#25 Hallo Sabina,

hier der LogText von rkfiles:

C:\WINDOWS\system32\DXDBGrid.dll: UPX!
C:\WINDOWS\system32\dXEditrs.dll: UPX!
C:\WINDOWS\system32\dXPSystm.dll: UPX!
C:\WINDOWS\system32\rwmnccr.exe: UPX!
C:\WINDOWS\system32\cd_clint.dll: pec2
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\cd_clint.dll: pec2
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
C:\WINDOWS\system32\DXDBGrid.dll: UPX!
C:\WINDOWS\system32\dXEditrs.dll: UPX!
C:\WINDOWS\system32\dXPSystm.dll: UPX!
C:\WINDOWS\system32\rwmnccr.exe: UPX!
Files Found in all users windows Folder............
------------------------
Finished
bye

Danke nochmal...klappt ja ganz gut:-))

#26 hallo sabina:
vielleicht kannst du mir nochmal helfen du hattest mir geschrieben:

Zitat

Hallo@Dsching

Fixe mit dem HijackTHis;

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nba.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS2\Nail.exe
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKLM\..\Run: [qxhnpl] c:\windows2\system32\lsaeda.exe r
O15 - Trusted Zone: http://www.windowsupdate.com
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/platypus/miniclipGameLoader.dll

PC neustarten


Zitat:
Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

loeschen:
c:\windows2\system32\lsaeda.exe
C:\WINDOWS2\System32\CQFSXJZ.EXE
C:\WINDOWS2\Nail.exe
c:\windows2\system32\mslaugh.exe
c:\windows2\system32\eaystix.exe
C:\Windows\Downloaded Program Files\miniclipGameLoader.dll

C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\JHO\aurareco.exe
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\OFC\aurareco.exe
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\PCB\aurareco.exe

C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5/49AB8DEF/aurora[1].exe

gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
__________
MfG Sabina

ich hab dir geantwortet:

Zitat

@sabina:
ich habe jetzt alles gefixt und hier is der bericht von rkfiles:

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS2\system32\pfopaf.exe: UPX!
C:\WINDOWS2\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS2\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
C:\WINDOWS2\system32\pfopaf.exe: UPX!
Files Found in all users windows Folder............
------------------------
C:\WINDOWS2\daemon.dll: UPX!
Finished
bye

aber die dateien die ich löschen soll hab ich gesucht aber nicht gefunden.

vielleicht kannst du ja bei all dem streß den du ja wahrscheinlich hast nochmal schauen ob du mir helfen, würde mich jedenfalls sehr freuen.

MfG Dsching

#27 Hallo Sabina,

hier kommt der Scan vom HiJackScanner:
Logfile of HijackThis v1.99.1
Scan saved at 18:23:44, on 15.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
c:\windows\system32\wlocsrv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Messenger\msmsgs.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\firebird\bin\ibguard.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\firebird\bin\ibserver.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Download\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Erinnerungsassistent - {63983FD2-298E-40B0-A246-D32FD0C9CACD} - C:\Programme\mediaBEAM\Erinnerungsassistent\eaiext.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [gzbeslz] c:\windows\system32\wlocsrv.exe r
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Telefonbieten - {22A2519A-4093-4487-B932-313C969360DC} - C:\Programme\mediaBEAM\Erinnerungsassistent\eaiext.dll
O9 - Extra 'Tools' menuitem: per Telefon bieten... - {22A2519A-4093-4487-B932-313C969360DC} - C:\Programme\mediaBEAM\Erinnerungsassistent\eaiext.dll
O9 - Extra button: Erinnerungsassistent - {5D739D65-9CDF-4783-AD0E-C2166615787F} - C:\Programme\mediaBEAM\Erinnerungsassistent\eaiext.dll
O9 - Extra 'Tools' menuitem: per SMS erinnern... - {5D739D65-9CDF-4783-AD0E-C2166615787F} - C:\Programme\mediaBEAM\Erinnerungsassistent\eaiext.dll
O9 - Extra button: eBay Deutschland - {C38AA9D7-640A-4e42-A1E8-F4F284A66592} - C:\Programme\mediaBEAM\Erinnerungsassistent\eaiext.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F80DEE3A-1D76-42EF-95EC-84B770162BEE}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Autodata Limited License Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - FirebirdSQL Project - C:\Programme\firebird\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - FirebirdSQL Project - C:\Programme\firebird\bin\ibserver.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe




Leider habe ich immer noch viele Trojaner z.B.:
C:\WINDOWS\SYSTEM32\DRPMON.DLL

Ist das Trojanische Pferd TR/Click.Age.DB.Dll

C:\DOKUME~1\HK\LOKALE~1\TEMP\D3396\AURORA.EXE

Ist das Trojanische Pferd TR/Dldr.Spybi.1

#28 Hallo@Erwin

Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 40 Tage raus

einzeln reinkopieren:...dann oeffnet sich der Editor, poste mir , was angezeigt wird

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit



loesche mit der Killbox:

C:\WINDOWS\system32\cd_clint.dll
c:\windows\system32\lvuvnl.exe
C:\DOKUME~1\HK\LOKALE~1\TEMP\D3396\AURORA.EXE
C:\WINDOWS\system32\rwmnccr.exe
c:\windows\system32\wlocsrv.exe
C:\WINDOWS\SYSTEM32\DRPMON.DLL

PC neustarten

Fixe mit dem HijackThis:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [gzbeslz] c:\windows\system32\wlocsrv.exe r

PC neustarten

C:\Dokumente und Einstellungen\HK\Lokale Einstellungen\Temp\D3396<--loeschen

laden+ scannen Emsisoft/de/software/free--> ich moechte bitte den scanreport sehen
http://virus-protect.org/antivirenfree.html

dann poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#29 Hallo@Dsching

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

reinkopieren:

C:\WINDOWS2\system32\pfopaf.exe


•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "yes"

dann scanne bitte noch einmal mit: rkfiles.zip (poste)

laden+ scannen Emsisoft/de/software/free--> ich moechte bitte den scanreport sehen
http://virus-protect.org/antivirenfree.html


dann
mache zwei oder drei onlinescans und berichte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#30 Hallo Sabina,

hier kommen die Angaben von cmd:
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7

Verzeichnis von C:\WINDOWS\system32

15.06.2005 20:14 23.887 FFASTLOG.TXT
15.06.2005 20:14 7.275 nvapps.xml
03.06.2005 06:48 3.308 qtplugin.log
25.05.2005 17:42 290.888 FNTCACHE.DAT
24.05.2005 17:32 2.206 wpa.dbl
07.05.2005 10:51 1.051.992 MRT.exe
04.05.2005 14:45 2.890.240 msi.dll
04.05.2005 14:45 15.072 spmsg.dll
02.04.2005 21:55 3 dxva_sig.txt
27.03.2005 12:28 376.016 perfh009.dat
27.03.2005 12:28 386.338 perfh007.dat
27.03.2005 12:28 51.814 perfc009.dat
27.03.2005 12:28 62.578 perfc007.dat
27.03.2005 12:28 886.752 PerfStringBackup.INI
21.03.2005 15:00 15.360 msisip.dll
21.03.2005 15:00 884.736 msimsg.dll
21.03.2005 15:00 271.360 msihnd.dll
21.03.2005 15:00 78.848 msiexec.exe
10.03.2005 10:04 1.483.776 shdocvw.dll
10.03.2005 10:04 3.010.560 mshtml.dll
10.03.2005 10:04 605.696 urlmon.dll
10.03.2005 10:04 146.432 msrating.dll
10.03.2005 10:04 662.528 wininet.dll
10.03.2005 10:04 474.112 shlwapi.dll
10.03.2005 10:04 250.880 iepeers.dll
10.03.2005 10:04 152.064 cdfview.dll
10.03.2005 10:04 1.016.832 browseui.dll
10.03.2005 10:04 96.768 inseng.dll
02.03.2005 20:09 578.560 user32.dll
02.03.2005 20:09 291.840 winsrv.dll
02.03.2005 20:09 56.832 authz.dll
02.03.2005 20:06 2.017.792 ntkrnlpa.exe
02.03.2005 20:06 2.138.112 ntoskrnl.exe
02.03.2005 20:06 1.836.416 win32k.sys
01.03.2005 01:11 8.491.008 shell32.dll

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7

Verzeichnis von C:\DOKUME~1\HK\LOKALE~1\Temp

15.06.2005 17:43 0 p2p12.tmp
15.06.2005 17:43 0 p2p11.tmp
14.06.2005 22:20 107.512 Set13.tmp

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7

Verzeichnis von C:\WINDOWS

15.06.2005 20:21 473.953 WindowsUpdate.log
15.06.2005 20:16 6.104 ModemLog_Bluetooth DUN Modem.txt
15.06.2005 20:16 6.098 ModemLog_Bluetooth Fax Modem.txt
15.06.2005 20:15 0 0.log
15.06.2005 20:15 4.246 ModemLog_Agere Systems PCI Soft Modem.txt
15.06.2005 20:14 2.048 bootstat.dat
15.06.2005 19:16 32.626 SchedLgU.Txt
15.06.2005 00:27 19.171.777 setupapi.log
14.06.2005 23:20 444.818 ntbtlog.txt
14.06.2005 22:48 10 smdat32m.sys
14.06.2005 19:25 745 win.ini
14.06.2005 17:57 116 NeroDigital.ini
12.06.2005 11:09 45 FKEJNFO.ini
12.06.2005 00:29 0 smdat32a.sys
11.06.2005 10:36 19.375 GatorPdpSetup.log
11.06.2005 10:08 7.611 GatorUninstaller_cme_u.log
11.06.2005 10:08 1.034 GatorUninstaller_cme.log
09.06.2005 23:52 216 wiadebug.log
09.06.2005 23:32 1.309 Q810243.log
09.06.2005 23:26 50 wiaservc.log
09.06.2005 19:35 90.200 wmsetup.log
08.06.2005 02:13 427.520 WRServices.dll
24.05.2005 19:34 1.556 ODBC.INI
24.05.2005 19:34 4.628 ODBCINST.INI
18.05.2005 22:00 31.080 iis6.log
18.05.2005 22:00 89.716 tsoc.log
18.05.2005 22:00 1.374 imsins.log
18.05.2005 22:00 11.459 ocmsn.log
18.05.2005 22:00 75.767 comsetup.log
18.05.2005 22:00 46.476 ntdtcsetup.log
18.05.2005 22:00 6.836 KB893803v2.log
18.05.2005 22:00 10.690 msgsocm.log
18.05.2005 22:00 131.823 ocgen.log
18.05.2005 22:00 211.419 FaxSetup.log
18.05.2005 21:59 30.344.694 setupapi.log.0.old
14.05.2005 11:18 1.917 imsins.BAK
11.05.2005 09:21 3.208 tm.ini
11.05.2005 09:18 41 tdf.dii
30.04.2005 12:07 230.704 setupact.log
30.04.2005 12:07 0 setuperr.log
28.04.2005 09:19 4.568 ModemLog_Creatix V.92 Data Fax Modem.txt
12.04.2005 22:50 16.851 KB893066.log
12.04.2005 22:50 18.235 KB890923.log
12.04.2005 22:50 4.082 updspapi.log
12.04.2005 22:50 13.702 KB893086.log
12.04.2005 22:50 15.260 KB890859.log
12.04.2005 22:49 8.447 KB893803.log
12.04.2005 22:46 28.926.606 setupapi.log.4.old
04.03.2005 12:01 88.209 AGRSMMSG.exe
28.02.2005 23:41 68.096 agrsmdel.exe

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7

Verzeichnis von C:\

15.06.2005 20:38 0 sys.txt
15.06.2005 20:37 8.881 system.txt
15.06.2005 20:35 372 systemtemp.txt
15.06.2005 20:31 104.830 system32.txt
15.06.2005 20:14 536.399.872 hiberfil.sys
15.06.2005 20:14 805.306.368 pagefile.sys
14.06.2005 23:53 1.085 log.txt
14.06.2005 23:50 0 windows.txt
14.06.2005 23:46 455 win.txt
14.06.2005 23:39 159 start.txt
14.06.2005 19:32 4.379 ffastun.ffa
14.06.2005 19:32 204.800 ffastun.ffo
14.06.2005 19:32 1.323.008 ffastun0.ffx
14.06.2005 19:32 860.160 ffastun.ffl
13.06.2005 22:22 18.105 grab00000.jpg
08.06.2005 18:18 3 AVPCallback.log