antivier findet --> TR/Qhost.AA --> hijackthis log

#1 hab das problem das ich den nicht wegbekomme
hab schon diverse suchen gestartet aber noch nix gefunden
antivier kann den Trojaner nicht entfernen
hijackthis logfile hab ich dabei

thx for help

log---------
Logfile of HijackThis v1.99.1
Scan saved at 13:24:09, on 30.11.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\csrss.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Caere\OmniPagePro90\opware32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\wnpsm.exe
C:\WINNT\system32\ntvdm.exe
C:\WINNT\system32\internat.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.aon.at
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.aon.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Everyday.com
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINNT\system32\nnnll.dll
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINNT\system32\vtsqr.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [windows system notepad] wnpsm.exe
O4 - HKLM\..\RunServices: [windows system notepad] wnpsm.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O20 - Winlogon Notify: nnnll - C:\WINNT\SYSTEM32\nnnll.dll
O20 - Winlogon Notify: vtsqr - C:\WINNT\system32\vtsqr.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINNT\SYSTEM32\slserv.exe
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINNT\csrss.exe

#2 Häkchen setzen und "fix checked" klicken:

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINNT\system32\nnnll.dll
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINNT\system32\vtsqr.dll
O4 - HKLM\..\Run: [windows system notepad] wnpsm.exe
O4 - HKLM\..\RunServices: [windows system notepad] wnpsm.exe
O20 - Winlogon Notify: nnnll - C:\WINNT\SYSTEM32\nnnll.dll
O20 - Winlogon Notify: vtsqr - C:\WINNT\system32\vtsqr.dll
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINNT\csrss.exe

Lösche mit Killbox (Anleitung und Download: http://managor.de/killbox.htm)

C:\WINNT\SYSTEM32\nnnll.dll
C:\WINNT\system32\vtsqr.dll
C:\winnt\system32\wnpsm.exe
C:\WINNT\csrss.exe

PC startet neu...

Mache einen Scan mit eScanCheck und poste das Ergebnis (Anleitung und Download: http://managor.de/escan.htm)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 hy und danke erst mal für die hilfe
hab alles so gemacht wie du gesagt hast,

hier der escanlog----------

--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Thu Dec 01 00:25:34 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
2: Thu Dec 01 00:46:12 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
3: Thu Dec 01 00:46:12 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\HOSTS.VIR [**]
4: Thu Dec 01 00:46:55 2005 => File C:\!KillBox\wnpsm.exe infected by "Backdoor.Win32.Agobot.gen" Virus! Action Taken: No Action Taken.
5: Thu Dec 01 00:46:56 2005 => File C:\!KillBox\csrss.exe infected by "Backdoor.Win32.Agobot.afk" Virus! Action Taken: No Action Taken.

--------------------------------------------------
--------------------- TAGGED ---------------------
--------------------------------------------------

1: Thu Dec 01 00:24:54 2005 => File C:\WINNT\system32\vtsqr.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.t". Action Taken: No Action Taken.
2: Thu Dec 01 00:25:13 2005 => File C:\WINNT\system32\vtsqr.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.t". Action Taken: No Action Taken.
3: Thu Dec 01 00:25:22 2005 => File C:\Dokumente und Einstellungen\Administrator\Desktop\backups\backup-20051130-224834-398.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.t". Action Taken: No Action Taken.
4: Thu Dec 01 00:25:22 2005 => File C:\Dokumente und Einstellungen\Administrator\Desktop\backups\backup-20051130-224940-900.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.t". Action Taken: No Action Taken.
5: Thu Dec 01 00:28:53 2005 => File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\2JI963I1\ff[1] tagged as "not-a-virus:AdWare.Win32.Virtumonde.t". Action Taken: No Action Taken.
6: Thu Dec 01 00:40:17 2005 => File C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0HYBC5EZ\pic[1].jpeg tagged as "not-a-virus:AdWare.Win32.WinAD.b". Action Taken: No Action Taken.
7: Thu Dec 01 00:41:00 2005 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2JI963I1\ff[1] tagged as "not-a-virus:AdWare.Win32.Virtumonde.t". Action Taken: No Action Taken.
8: Thu Dec 01 00:41:28 2005 => File C:\Dokumente und Einstellungen\Administrator\Desktop\backups\backup-20051130-224834-398.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.t". Action Taken: No Action Taken.
9: Thu Dec 01 00:41:29 2005 => File C:\Dokumente und Einstellungen\Administrator\Desktop\backups\backup-20051130-224940-900.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.t". Action Taken: No Action Taken.
10: Thu Dec 01 00:46:54 2005 => File C:\98.exe tagged as "not-a-virus:AdWare.Win32.WinAD.b". Action Taken: No Action Taken.
11: Thu Dec 01 00:46:55 2005 => File C:\!KillBox\vtsqr.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.t". Action Taken: No Action Taken.

--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------

1: Thu Dec 01 00:25:18 2005 => ERROR!!! Invalid Entry SCRNSAVE.EXE = (Kein) (in key Control Panel\Desktop). No Action Taken.
2: Thu Dec 01 00:25:32 2005 => ERROR!!! Invalid Entry "C:\WINNT\csrss.exe" in SYSTEM\CurrentControlSet\Services\wservtime...
3: Thu Dec 01 00:26:02 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\logo.act". Action Taken: No Action Taken.
4: Thu Dec 01 00:26:02 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\scribble.act". Action Taken: No Action Taken.
5: Thu Dec 01 00:26:02 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\dot.act". Action Taken: No Action Taken.
6: Thu Dec 01 00:26:02 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\mnature.act". Action Taken: No Action Taken.
7: Thu Dec 01 00:26:02 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\hoverbot.act". Action Taken: No Action Taken.
8: Thu Dec 01 00:26:02 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\will.act". Action Taken: No Action Taken.
9: Thu Dec 01 00:26:02 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\powerpup.act". Action Taken: No Action Taken.
10: Thu Dec 01 00:26:02 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\genius.act". Action Taken: No Action Taken.
11: Thu Dec 01 00:26:08 2005 => Entry "HKCR\CLSID\{99180163-DA16-101A-935C-444553540000}" refers to invalid object "recncl.dll". Action Taken: No Action Taken.
12: Thu Dec 01 00:26:08 2005 => Entry "HKCR\CLSID\{A4845882-333F-11D0-B724-00AA0062CBB7}" refers to invalid object "C:\WINNT\System32\WBEM\WBEMSTUB.DLL". Action Taken: No Action Taken.
13: Thu Dec 01 00:26:10 2005 => Entry "HKCR\CLSID\{E07D3492-32B5-11D0-B724-00AA0062CBB7}" refers to invalid object "C:\WINNT\System32\WBEM\WBEMSTUB.DLL". Action Taken: No Action Taken.
14: Thu Dec 01 00:26:12 2005 => Entry "HKCR\ActMsg.Session" refers to invalid object "{3FA7DEB3-6438-101B-ACC1-00AA00423326}". Action Taken: No Action Taken.
15: Thu Dec 01 00:26:16 2005 => Entry "HKCR\MailFileAtt" refers to invalid object "{00020D05-0000-0000-C000-000000000046}". Action Taken: No Action Taken.
16: Thu Dec 01 00:26:16 2005 => Entry "HKCR\mapifvbx.object" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.
17: Thu Dec 01 00:26:16 2005 => Entry "HKCR\mapifvbx.object.1" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.

--------------------------------------------------
-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------

1: C:\!KillBox\wnpsm.exe => Backdoor.Win32.Agobot.gen
2: C:\!KillBox\csrss.exe => Backdoor.Win32.Agobot.afk

--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------

Thu Dec 01 00:47:04 2005 => Total Objects Scanned: 31605
Thu Dec 01 00:47:04 2005 => Total Virus(es) Found: 15
Thu Dec 01 00:47:04 2005 => Total Errors: 17
Thu Dec 01 00:47:04 2005 => Virus Database Date: 2005/11/29
Thu Dec 01 00:47:04 2005 => Virus Database Count: 162144
Thu Dec 01 00:52:17 2005 => Total Objects Scanned: 31605
Thu Dec 01 00:52:17 2005 => Total Virus(es) Found: 15
Thu Dec 01 00:52:17 2005 => Total Errors: 17

mfg

#4 Hallo@manjana

der PC ist kompromitiert, es sind also noch viele Schritte notwendig, um das zu reinigen.................

wende an:CleanUp
http://virus-protect.org/cleanup.html

so wird geloescht:

Zitat

C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\2JI963I1\ff[1] tagged as "not-a-virus:AdWare.Win32.Virtumonde.t

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html

ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip
- entzippen
- scannen
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#5 ich wollte mich mal bedanken für die rasche hilfe werde die tipps von sabina natürlich noch befolgen und die logs posten hab nur momentan sehr schlecht zeit hoffe ich komm nächste woche dazu

thx

mfg

#6 vernuenftiger waere, zu formatieren, dann ist alles wieder , wie es sein soll, denn eine Reinigung ist immer nur eine Notloesung, welche das System kompromitiert belaesst.
__________
MfG Sabina

rund um die PC-Sicherheit

#7 hmm muss zwar zugeben dass ich das nicht hören wollte

aber ich werd deinen rat befolgen und formatieren

thx

ps: gibt es eventuell noch nen tipp? da es ja nicht mein pc ist und ich daher nicht genau weiss was wirklich alles drauf ist (spy-, adware viren etc) damit ich dem besitzer noch einen tipp mitgeben kann wovor er sich hüten muss bzw wodurch es erst soweit gekommen ist?

ich weiss dass man wahrscheinlich nicht genau sagen kann was da so alles drauf ist aber vllt gibts ja doch tipps

#8 Hallo@manjana

drauf ist ein Backdoor.Win32.Agobot

O4 - HKLM\..\Run: [windows system notepad] wnpsm.exe
O4 - HKLM\..\RunServices: [windows system notepad] wnpsm.exe

...schon ein Grund zum formatieren, dazu kommt die Spyware AdWare.Win32.Virtumonde.t

O20 - Winlogon Notify: nnnll - C:\WINNT\SYSTEM32\nnnll.dll
O20 - Winlogon Notify: vtsqr - C:\WINNT\system32\vtsqr.dll

Massnahmen nach Neuinstallation von Windows
http://virus-protect.org/nachneuinst.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo.

Gibt ja schon einige Beiträge dazu, aber in denen scheint es immer nur eine spezielle Lösung zu geben (oder ich kapiers nicht...).
Auch bei mir meckert AntiVir über diesen Trojaner, kann ihn aber nicht löschen. Hier ist der HijackThis-Bericht:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 19:43:16, on 02.11.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\WINDOWS\SYSTEM32\USRshutA.exe
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\WINDOWS\System32\wincfgkop9.exe
D:\Programme\Winamp\winampa.exe
D:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\svcchost.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\RTE\RTEGPRS.exe
D:\Programme\OpenOffice.org1.1.4\program\soffice.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system\winlogon.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe
D:\Programme\Opera\Opera.exe
C:\WINDOWS\system32\cidaemon.exe
D:\Programme\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\MSDXM.OCX
O4 - HKLM\..\Run: [USRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [WinConfig9324] wincfgkop9.exe
O4 - HKLM\..\Run: [Secure System] integitor.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [CapFax] D:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [msvcc25] svcchost.exe
O4 - HKLM\..\Run: [Microsoft Directxsp] directxbt.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [WinConfig9324] wincfgkop9.exe
O4 - HKLM\..\RunServices: [Secure System] integitor.exe
O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
O4 - HKLM\..\RunServices: [Microsoft Directxsp] directxbt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RTEGPRS] "C:\Programme\Gemeinsame Dateien\RTE\RTEGPRS.exe" tray
O4 - HKCU\..\Run: [adobemgr] C:\WINDOWS\System32\adobemgr.exe
O4 - HKCU\..\Run: [Microsoft Directxsp] directxbt.exe
O4 - HKCU\..\RunServices: [Microsoft Directxsp] directxbt.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: OpenOffice.org 1.1.4.lnk = D:\Programme\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EBC535BB-84D1-4EC5-82FE-A9C7521DCB5B}: NameServer = 192.168.1.1,212.23.97.2
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Service (ISDS) - Unknown owner - C:\WINDOWS\system32\csscv.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Secure System - Unknown owner - C:\WINDOWS\System32\integitor.exe" -service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows NT Logon Application (WINLOGON) - Unknown owner - C:\WINDOWS\system\winlogon.exe

Leider werd ich daraus nicht schlau

Könnt ihr mir bitte helfen das Ding los zu werden?

#10 Garwin

da ist nichts mehr zu machen, der Rechner besteht nur aus Viren, Wuermern und backdoors.
du musst schnellstens alles platt machen - und formatieren (und als erstes dann die Windowsupdates machen, SP2 laden)
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Oh, ganz schön harte Diagnose, aber Danke für die schnelle Hilfe

edit: eine Frage hab ich noch:
Ich habe die Platte in zwei Formationen aufgeteilt, C für Windows und die wichtigsten Programme, und D für die restlichen Daten.
Reicht es wenn ich jetzt nur C formatiere und D ganz lasse?

#12 Garwin

Formatiere c:\ - mache die Windowsupdates - und komme wieder mit einem neuen Log vom HijackThis , ich schaue dann noch mal nach
__________
MfG Sabina

rund um die PC-Sicherheit

#13 So, C ist frisch formatiert, D hab ich nicht angefasst. Hier der Bericht:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 20:22:40, on 03.11.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\WINDOWS\SYSTEM32\USRshutA.exe
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Rising\Rav\RavTask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Rising\Rav\Ravmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Rising\Rav\RavStub.exe
D:\Programme\HijackThis\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [USRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RavTask] "C:\Programme\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Programme\Rising\Rav\CCenter.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Programme\Rising\Rav\Ravmond.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hab ich noch was drauf?

#14 lade einen virenguard
http://virus-protect.org/antivirus.html

und mache UNBEDINGT die Windowsupdates, sonst stehst du hier gleich wieder auf der Matte - und ich reinige keine Rechner ohne Windowsupdates
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Ups, das update hab ich ja wirklich vergessen *schäm* aber ein Antivirenprogramm habe ich aufgespielt:
C:\Programme\Rising\Rav\CCenter.exe

Mir wurde das empfohlen, oder hast du da andere Erfahrungen?