Home » Viren, Trojaner & Malware Forum » wie bekomme ich Trojaner TR/Small.gq1 von meinem PC » Themenansicht

wie bekomme ich Trojaner TR/Small.gq1 von meinem PC
#0
21.12.2005, 23:56
Pitnaumi
Member

Themenstarter

Beiträge: 15
#16 Vielen Dank für die Mühe.

Habe in der Datei Dokumente und Einstellungen und dort in der Temp Datei auch schon gesucht, da finde ich aber auch nichts
Ist dies vielleicht der LOG?
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS.0\system32\ctfmon.exe" [MS]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"LWBMOUSE" = "C:\Programme\iWare\iWare Mouse\3.2\lwbwheel.exe" [empty string]
"nForce Tray Options" = "sstray.exe /r" ["NVIDIA Corporation"]
"NeroCheck" = "C:\WINDOWS.0\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"InCD" = "C:\Programme\ahead\InCD\InCD.exe" ["Copyright (C) ahead software gmbh and its licensors"]
"NvCplDaemon" = "RUNDLL32.EXE NvQTwk,NvCplDaemon initialize" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"InstantAccess" = "C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h" [null data]
"RegisterDropHandler" = "C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE" [empty string]
"HotKey" = "C:\WINDOWS.0\Twain_32\FlatBed\HotKey.exe" ["Primax Electronics Ltd."]
"WinDSL MTU-Adjust" = "WinDSL_MTU.exe" ["Engel Technologieberatung, Entwicklung/Verkauf von Soft- und Hardware KG"]
"CloneCDTray" = ""C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"" ["Elaborate Bytes AG"]
"AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]
"dmulx.exe" = "C:\WINDOWS.0\system32\dmulx.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS.0\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS.0\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS.0\System32\nvshell.dll" ["NVIDIA Corporation"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS.0\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS.0\system32\Audiodev.dll" [MS]
"{0E6C58A9-F592-4862-B35F-CA45E24003B3}" = "CloneCD"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Elaborate Bytes\CloneCD\ElbyVCDShell.dll" ["Elaborate Bytes"]
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\a-squared\a2contmenu.dll" [null data]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS.0\system32\browseui.dll" [MS]
"{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
a2ContMenu\(Default) = "{AB77609F-2178-4E6F-9C4B-44AC179D937A}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\a-squared\a2contmenu.dll" [null data]
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Peter.YOUR-QAG8USFM0T\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS.0\System32\ssmypics.scr" [MS]


Startup items in "Peter" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Startmenü\Programme\Autostart
"ZoneAlarm" -> shortcut to: "C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe" ["Zone Labs Inc."]


Enabled Scheduled Tasks:
------------------------

"Datenträgerbereinigung" -> launches: "C:\WINDOWS.0\system32\cleanmgr.exe" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\Programme\Google\Google Desktop Search\GoogleDesktopNetwork1.dll [null data], 01 - 02, 29
%SystemRoot%\system32\mswsock.dll [MS], 03 - 05, 08 - 28
%SystemRoot%\system32\rsvpsp.dll [MS], 06 - 07


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "Yahoo! Toolbar mit Pop-Up-Blocker" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Yah


Peter
Dieser Beitrag wurde am 22.12.2005 um 00:29 Uhr von Pitnaumi editiert.
Seitenanfang Seitenende
22.12.2005, 15:53
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dmulx.exe"=-
loesche mit der Killbox:
C:\WINDOWS.0\system32\dmulx.exe

in den abgesicherten Modus booten und die fix.reg doppelt klicken.

-------------------------------------------------------------------------

wende bitte dies an:
Download FixWareout:
http://swandog46.geekstogo.com/Fixwareout.exe

Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt--> hier bitte kopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.12.2005, 22:49
Pitnaumi
Member

Themenstarter

Beiträge: 15
#18 Fixwareout ver 1.003
Last edited 12/5/2005
Hallo Sabina,

hier mein fixwareout report:

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\xlumd

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool


und der neue HijackThislog:

Logfile of HijackThis v1.99.1
Scan saved at 22:48:38, on 22.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS.0\System32\nvsvc32.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\wuauclt.exe
C:\Programme\iWare\iWare Mouse\3.2\lwbwheel.exe
C:\WINDOWS.0\system32\sstray.exe
C:\Programme\ahead\InCD\InCD.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\WINDOWS.0\Twain_32\FlatBed\HotKey.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\PETER~1.YOU\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\iWare\iWare Mouse\3.2\lwbwheel.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS.0\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS.0\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [dmulx.exe] C:\WINDOWS.0\system32\dmulx.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: BINGOOO - {81A9A28C-4CB0-42F7-8D6C-04C4BDA768A1} - C:\Programme\D\Adressensuche Internet+D-Info\bingooo.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS.0\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - C:\WINDOWS.0\system32\ZoneLabs\vsmon.exe (file missing)

Bis hierhin habe ich hoffentlich nicht allzuviel Bockmist gemacht,

vielen Dank schon mal

Gruß Peter
Seitenanfang Seitenende
23.12.2005, 00:41
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 Pitnaumi

bisher laueft alles nach Plan lol

öffne das HijackThis -- Button "scan" -- vor den Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [dmulx.exe] C:\WINDOWS.0\system32\dmulx.exe

neustarten

schau, ob die C:\WINDOWS.0\system32\dmulx.exe geloescht ist.

dann scanne mit Dr.Web und berichte, was noch geloescht wurde. (du musst es abschreiben.....)..schreib aber nur die exe oder dll ab, die geloescht wurden)
http://virus-protect.org/cureit.html

wenn das erledigt ist, scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.12.2005, 23:30
Pitnaumi
Member

Themenstarter

Beiträge: 15
#20 Die umbenannten Dateien nach dem Scan mit Dr. Web sind folgende:
C:\programme\zonelabs\zonealarm\repair\vsmon.#xe und
C:\windows0\system32\zonelabs\vsmon_\0.#xe
Seitdem komme ich nur noch selten ins Internet, weil mit einer "Notice from Zone Labs" immer irgendeine Warnung angezeigt wird. Habe jetzt versucht Zone Alarm zu löschen um es neu aufzuspielen. Löschen geht nicht, weil irgendeine Datei nicht gefunden wird und neu überspielen durch neuen Download klappte auch nicht wegen irgendeiner Fehlermeldung.


Onlinescan mitKaspersky konnte ich auch nicht durchführen, nachdem ich Onlinescan angeklickt hatte und "accept" bestätigte erhielt ich die Meldung "Please wait while Kaspersky Online Scane is initializing. Dann tat sich gar nichts mehr.

Ich habe dann versucht, die Freeware von Kasperski Antivirus zu installieren, da blieb der PC hängen. Irgendwie habe ich das Gefühl, dass im Moment gar nichts mehr klappt. Gibt es eine andere Möglichkeit als Kaspersky, um den Scan durchzuführen?

Ganz liebe Weihnachtsgrüße an alle.

Peter
Dieser Beitrag wurde am 23.12.2005 um 23:42 Uhr von Pitnaumi editiert.
Seitenanfang Seitenende
23.12.2005, 23:44
Pitnaumi
Member

Themenstarter

Beiträge: 15
#21 Hallo Sabina,

du bist aber schnell, meine NAchricht war noch gar nicht zu Ende, ich hatte nur mal zwischengespeichert, weil ich schon ein paar Mal rausgeflogen bin.
Lies noch mal meine letzte Post durch, wegen Kaspersky.

Danke
Seitenanfang Seitenende
23.12.2005, 23:48
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 Mist...ich verstehe auch nicht, warum dr.web den Zonealarm reklamiert...ist mir schon mal aufgefallen.

C:\programme\zonelabs\zonealarm\repair\vsmon.#xe ---> rechtsklick--> umbenennen in exe

C:\windows0\system32\zonelabs\vsmon_\0.#xe ---> rechtsklick--> umbenennen in exe


Den Kaspersky darfst du nicht als Tool laden, ohne den Antivirus vorher zu deaktivieren.
Deinstalliere den kaspersky wieder wenn das erledigt ist, melde dich wieder
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.12.2005, 00:23
Pitnaumi
Member

Themenstarter

Beiträge: 15
#23 Hurra, nachdem ich jetzt ZoneAlarm und AntiVir deinstalliert habe klappt es tatsächlich. Hier der Report von Kaspersky:
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Saturday, December 24, 2005 01:00:04
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 24/12/2005
Kaspersky Anti-Virus database records: 156974
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard


Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
H:\

Scan Statistics:
Total number of scanned objects: 62972
Number of viruses found: 1
Number of infected objects: 1
Number of suspicious objects: 0
Duration of the scan process: 2428 sec

Infected Object Name - Virus Name
C:\!KillBox\idemlog.exe Infected: Backdoor.Win32.Agent.rw

Scan process completed.

Vielen vielen Dank, ohne deine Hilfe hätte ich den PC vermutlich schon längst aus dem Fenster geschmissen.
Dieser Beitrag wurde am 24.12.2005 um 01:05 Uhr von Pitnaumi editiert.
Seitenanfang Seitenende
24.12.2005, 12:57
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 Pitnaumi

C:\!KillBox\idemlog.exe--> manuell loeschen

installiere den Antivirus und Zonealarm wieder
http://virus-protect.org/antivirus.html

Ein schoenes Weihnachtsfest ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.12.2005, 23:04
Pitnaumi
Member

Themenstarter

Beiträge: 15
#25 Habe alles erledigt. Ist der PC jetzt sauber? AntiVir hat jedenfalls keine Viren mehr gefunden.
Ich schicke vorsichtshalber noch mal ein Log von HijackThis.

Mit freundlichem Gruß
Peter

Logfile of HijackThis v1.99.1
Scan saved at 23:04:36, on 25.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS.0\System32\nvsvc32.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\ZoneLabs\vsmon.exe
C:\WINDOWS.0\Explorer.EXE
C:\Programme\iWare\iWare Mouse\3.2\lwbwheel.exe
C:\WINDOWS.0\system32\sstray.exe
C:\Programme\ahead\InCD\InCD.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\WINDOWS.0\Twain_32\FlatBed\HotKey.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\WINDOWS.0\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\PETER~1.YOU\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\iWare\iWare Mouse\3.2\lwbwheel.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS.0\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS.0\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: BINGOOO - {81A9A28C-4CB0-42F7-8D6C-04C4BDA768A1} - C:\Programme\D\Adressensuche Internet+D-Info\bingooo.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS.0\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS.0\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
26.12.2005, 00:49
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 Pitnaumi

es ist alles in Ordnung ;)

installiere und aktiviere den Guard.
http://virus-protect.org/ms.html

------------------
P.S:

das wuerde ich fixen
O9 - Extra button: BINGOOO - {81A9A28C-4CB0-42F7-8D6C-04C4BDA768A1} - C:\Programme\D\Adressensuche Internet+D-Info\bingooo.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.12.2005, 17:58
Pitnaumi
Member

Themenstarter

Beiträge: 15
#27 Hallo Sabina,

habe all meine Hausaufgaben erledigt, bin überglücklich, dass ich den ganzen Dreck wieder vom PC habe. Unbedingt will ich noch mein Lob loswerden. Ich finde es außergewöhnlich nett, dass ihr hier Euer know how kostenlos zur Verfügung stellt und eure Hilfe "ehrenamtlich" anbietet. Wo gibt es so etwas noch. Wäre schön, wenn alle Menschen auch in anderen Bereichen so sozial denken würden.

Jetzt noch eine Fachfrage. Ich habe jetzt Windows Spyware, Zone Alarm und AntiVir auf meinem PC. Reicht das oder würdest Du mir noch irgendetwas empfehlen.

Was mache ich mit den ganzen anderen Sachen, die ich im Laufe der Reparaturarbeiten runtergeladen habe, wie Killbox, Silent Runners, Fix wareout. Dr.web, fixme.reg, RoolkitRevelear, hijackthis, adaware, Spybot, a-sqared und wareoutreg. Alles wieder löschen oder ist es sinnvoll einiges davon zu behalten?

Wünsche ein schönes Neues Jahr

Mit freundlichem Gruß
Peter
Dieser Beitrag wurde am 27.12.2005 um 19:55 Uhr von Pitnaumi editiert.
Seitenanfang Seitenende
27.12.2005, 21:32
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 Pitnaumi

loesche ausser dem HijackThis und killbox und evt. AdAware wieder alles, was du neu geladen hast.
Schaue, ob es bei WindowsUpdate´s was neues gibt ;)

Eingeschränktes Benutzerkonto/Administratorrechte unter Windows
http://virus-protect.org/administrator.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12