TR/LowZones.DM eingefangen wie werd ich ihn los?

#1 Hallo ich hab mir den Trojaner eingefrangen und wollt mal fachkundige fragen wie ich ihn loswerde...

hier meine log

Logfile of HijackThis v1.99.1
Scan saved at 16:36:14, on 10.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\bmwebcfg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\pctspk.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\BearShare\BearShare.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\WINDOWS\System32\SNDVOL32.EXE
C:\Programme\Vodafone\Vodafone Mobile Connect\VMConnect.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\bmctl.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\bmop.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Dokumente und Einstellungen\Benni\Eigene Dateien\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=031806 Seri*hier nicht!*=DR12CRD-9039407-pju lang=DE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Deer Hunter 2005 Registration.lnk = C:\Programme\Atari\Deer Hunter 2005\ATR1.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O10 - Broken Internet access because of LSP provider 'bmnet.dll' missing
O12 - Plugin for .dwg: C:\Program Files\PLUGINS\npdwg32.dll
O12 - Plugin for .dxf: C:\Program Files\PLUGINS\npdwg32.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2D360201-FFF5-11D1-8D03-00A0C959BC0A} (DHTML Edit Control Safe for Scripting) - https://mail.physik.uni-wuerzburg.de/DHTMLED.cab
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://mail.physik.uni-wuerzburg.de/iNotes6W.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/2620375b657a9bc23722/netzip/RdxIE601_de.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112026128738
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CA966DE-8603-4328-91C3-94B4E4838CAE}: NameServer = 139.7.30.125 139.7.30.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEC37C96-AF40-4EAD-A790-59EFC9434B92}: NameServer = 192.168.1.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\System32\bmwebcfg.exe
O23 - Service: hpdj - Unknown owner - C:\DOKUME~1\Benni\LOKALE~1\Temp\hpdj.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe

#2 le-smudje

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 bin mir nicht sicher ob das hier gemeint war:

11.03.2006 03:32 1.536 TrueSoft.dat
10.03.2006 17:36 4.212 zllictbl.dat
03.03.2006 15:17 147.608 FNTCACHE.DAT
28.02.2006 17:31 2.206 wpa.dbl
23.02.2006 10:22 57.344 avsda.dll
07.02.2006 21:28 4.513.120 MRT.exe
04.02.2006 20:04 6.144 access.ctl
26.01.2006 23:25 176.167 rmoc3260.dll
26.01.2006 23:25 5.632 pndx5032.dll
26.01.2006 23:25 6.656 pndx5016.dll
26.01.2006 23:25 278.528 pncrt.dll
04.01.2006 04:37 64.000 webclnt.dll
14.12.2005 12:14 21.840 SIntfNT.dll
14.12.2005 12:14 17.212 SIntf32.dll
14.12.2005 12:14 12.067 SIntf16.dll
06.12.2005 06:02 5.533.696 wmp.dll

#4 le-smudje

es sind 4 logs
http://virus-protect.org/datfindbat.html

1.Log Verzeichnis von C:\WINDOWS\system32
2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
3.Log Verzeichnis von C:\WINDOWS
4.Log Verzeichnis von C:\


__________
MfG Sabina

rund um die PC-Sicherheit

#5 ok danke jetzt hab ichs gecheckt:
hier die logs:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 50FD-5440

Verzeichnis von C:\WINDOWS\system32

11.03.2006 03:32 1.536 TrueSoft.dat
10.03.2006 17:36 4.212 zllictbl.dat
03.03.2006 15:17 147.608 FNTCACHE.DAT
28.02.2006 17:31 2.206 wpa.dbl
23.02.2006 10:22 57.344 avsda.dll
07.02.2006 21:28 4.513.120 MRT.exe
04.02.2006 20:04 6.144 access.ctl
26.01.2006 23:25 176.167 rmoc3260.dll
26.01.2006 23:25 5.632 pndx5032.dll
26.01.2006 23:25 6.656 pndx5016.dll
26.01.2006 23:25 278.528 pncrt.dll
04.01.2006 04:37 64.000 webclnt.dll
14.12.2005 12:14 21.840 SIntfNT.dll


Verzeichnis von C:\DOKUME~1\Benni\LOKALE~1\Temp

11.03.2006 15:56 16.384 ~DF2BC3.tmp
11.03.2006 15:55 16.384 ~DFDF1C.tmp
11.03.2006 15:55 512 ~DFDF28.tmp
11.03.2006 15:53 134 hpotdd000.log
11.03.2006 15:53 220 jusched.log
11.03.2006 14:22 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}26475.html
11.03.2006 14:06 114.829 coredmp
11.03.2006 13:22 16.384 ~DFF476.tmp
11.03.2006 13:22 16.384 ~DFC695.tmp
06.03.2006 22:07 250 1F1205F7.TMP

Verzeichnis von C:\WINDOWS

11.03.2006 15:58 7.354 ModemLog_Novatel Wireless UMTS Modem Primary Port.txt
11.03.2006 15:54 1.671.338 WindowsUpdate.log
11.03.2006 15:53 0 0.log
11.03.2006 15:53 159 wiadebug.log
11.03.2006 15:53 0 wiaservc.log
11.03.2006 15:53 2.048 bootstat.dat
11.03.2006 15:28 32.622 SchedLgU.Txt
11.03.2006 03:44 30 iedit.INI
11.03.2006 03:32 4.200 ModemLog_HSP56 MR (TOPPER).txt
10.03.2006 12:19 0 BARCODE.INI
02.03.2006 18:53 59 LTRDF14n.INI
02.03.2006 18:25 1.225 win.ini
05.02.2006 19:26 59 ANS2000.INI
04.02.2006 20:23 73.216 cadkasdeinst01.exe
04.02.2006 20:16 318 anyfiles.INI
04.02.2006 17:20 900 CtrlView.cfg
04.02.2006 15:43 119 cv_iwh.sfc
25.01.2006 20:32 17 popcinfo.dat
10.01.2006 20:42 25 SIERRA.INI
07.12.2005 11:42 265 vstudio.INI
07.12.2005 11:42 1.063 Ulead32.ini

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 50FD-5440

Verzeichnis von C:\

11.03.2006 15:59 0 sys.txt
11.03.2006 15:59 6.294 system.txt
11.03.2006 15:58 781 systemtemp.txt
11.03.2006 15:58 96.356 system32.txt
11.03.2006 15:53 805.306.368 pagefile.sys
09.03.2006 20:27 255.329 hpfr3600.log
01.02.2006 16:32 56 ÿÿÿ.ÿ
07.12.2005 10:59 277 debugInstaller.txt

so jetzt wars aber denk ich richtig. Könnt ihr mir vielleicht auch mal erklären, was ihr genau in diesen logs schaut, damit ich das vielleicht auch irgendwann ohne hilfe so wie ihr auf die reihe bekommen.

Also danke der Benni

#6 le-smudje

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .. (von hier aus)

C:\ÿÿÿ.ÿ
C:\WINDOWS\cadkasdeinst01.exe

PC neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 hallo nur die yyy.y und die cadkasdeinst01.exe oder alles was ober rot ist mit killbox löschen?

#8 nein, loesche nur, was ich geschrieben habe...die anderen Eintraege entstanden am gleichen Tag, aber ich weiss nicht, was es ist.
und mache den Onlinescan mit Panda und berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#9 scan is durch häng mal einfach den log an

#10 jeh...nur Cookies
Was meint dein Antivirus ?
Hast du schon mal im abgesicherten Modus gescannt ?

P.S : BearShare solltest du deinstallieren, wenn du deinen PC magst....und die WindowsUpdates machen.........
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Spybot hat nix gefunden
Antivir auch nicht
Ad aware die üblichen cookies

Dann bedanke ich mich gleich mal für die kompetente Hilfe...