Swizzor A. Trojaner |
||
---|---|---|
#0
| ||
15.04.2006, 23:15
...neu hier
Beiträge: 6 |
||
|
||
16.04.2006, 12:10
Moderator
Beiträge: 7805 |
#2
Nutze bitte curit im abgesicherten Modus: http://virus-protect.org/cureit.html Poste danach bitte ein Hijackthis log.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
16.04.2006, 13:43
...neu hier
Themenstarter Beiträge: 6 |
#3
Danke für die Hilfe. CureIt hat einiges gefunden, aber auch einiges nicht löschen können. Hier das neue HiJackThis-Log:
Logfile of HijackThis v1.99.1 Scan saved at 13:40:14, on 16.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\Sonstiges\Motherboard Monitor 5\MBM5.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\Sonstiges\Winamp\winampa.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe D:\Sonstiges\XFire\Xfire.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\WinRAR\WinRAR.exe C:\WINDOWS\system32\wuauclt.exe C:\DOKUME~1\Cokeser\LOKALE~1\Temp\Rar$EX00.437\HijackThis.exe C:\WINDOWS\system32\wscntfy.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {473F16DB-ED54-6D8D-5F1E-ABEEB5EC6EAB} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Xilokit Deskloops BHO - {B0CD151E-D4F1-4474-9BED-7D0173050EAD} - (no file) O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [MBM 5] "D:\Sonstiges\Motherboard Monitor 5\MBM5.EXE" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WinampAgent] D:\Sonstiges\Winamp\winampa.exe O4 - HKLM\..\Run: [itch free slow hide] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Birddrvitchfree\Forkmp3.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [heckbeep] C:\DOKUME~1\Cokeser\ANWEND~1\PROXYM~1\Eq Program.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Xfire.lnk = D:\Sonstiges\XFire\Xfire.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121423977265 O17 - HKLM\System\CCS\Services\Tcpip\..\{49555E01-AE1C-4CB4-8C0A-4E620488537F}: NameServer = 192.168.1.1 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: iPod Service (iPodService) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing) |
|
|
||
16.04.2006, 13:52
Moderator
Beiträge: 7805 |
#4
Der Scan wurde im abgesicherten Modus gemacht? Poste bitte das, was drweb gefuinden hat. Dazu unter Start ausfuehren %userprofil%\doctorweb\cureit.log eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte hier posten.
Kopiere Hijackthis bitte in einen Extra Ordner(C:\hijackthis z.B.) und fix das(anhaken und fix checked druecken. O2 - BHO: (no name) - {473F16DB-ED54-6D8D-5F1E-ABEEB5EC6EAB} - (no file) O2 - BHO: Xilokit Deskloops BHO - {B0CD151E-D4F1-4474-9BED-7D0173050EAD} - (no file) O4 - HKLM\..\Run: [itch free slow hide] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Birddrvitchfree\Forkmp3.exe O4 - HKCU\..\Run: [heckbeep] C:\DOKUME~1\Cokeser\ANWEND~1\PROXYM~1\Eq Program.exe Wenn du SpySweeper nicht mehr nutzt, nimm das auch raus: O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) Mache das bitte auch im abgesicherten Modus, sonst motzt der Teatimer. http://www.bsi.bund.de/av/texte/wiederher.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
||
16.04.2006, 14:06
...neu hier
Themenstarter Beiträge: 6 |
#5
Ja, das war im abgesicherten Modus. Ich habe hierzu das Log gespeichert:
window amok.exe;C:\Dokumente und Einstellungen\Cokeser\Anwendungsdaten\Aim Live One;Trojan.Swizzor;Gelöscht.; dnfuzuek.exe;C:\Dokumente und Einstellungen\Cokeser\Anwendungsdaten\ProxyMath;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.; File Site Bat.exe;C:\Dokumente und Einstellungen\Cokeser\Anwendungsdaten\ProxyMath;Trojan.LopAd;Gelöscht.; kmvwmjpx.exe;C:\Dokumente und Einstellungen\Cokeser\Anwendungsdaten\ProxyMath;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.; lcwlmexg.exe;C:\Dokumente und Einstellungen\Cokeser\Anwendungsdaten\ProxyMath;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.; yckzhiyq.exe;C:\Dokumente und Einstellungen\Cokeser\Anwendungsdaten\ProxyMath;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.; dnfuzuek.exe;C:\Dokumente und Einstellungen\Cokeser\DoctorWeb\Quarantine;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.; kmvwmjpx.exe;C:\Dokumente und Einstellungen\Cokeser\DoctorWeb\Quarantine;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.; lcwlmexg.exe;C:\Dokumente und Einstellungen\Cokeser\DoctorWeb\Quarantine;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.; yckzhiyq.exe;C:\Dokumente und Einstellungen\Cokeser\DoctorWeb\Quarantine;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.; 1134f39.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.; 15a5c67.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.; 16238a3.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.; 1b5317c.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.; 1bbe5d.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.; 1fc1c0a.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.; 204e542.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.; 37a65a.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.; 7ed0ef.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.; 81875e.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.; b4867fad.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.; b4df053e.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.; bisDD.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.; c87e3c.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.; upAYB_unk[1].int;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9A9POXZR;Trojan.Swizzor;Gelöscht.; NP_0064_1.exe;C:\Programme\NetPumper\ZM;Trojan.LopAd;Gelöscht.; Dc403.exe;C:\RECYCLER\S-1-5-21-73586283-484763869-725345543-1004;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.; Dc404.exe;C:\RECYCLER\S-1-5-21-73586283-484763869-725345543-1004;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.; Dc405.exe;C:\RECYCLER\S-1-5-21-73586283-484763869-725345543-1004;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.; A0025034.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP235;Trojan.Swizzor;Gelöscht.; A0025035.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP235;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.; A0025036.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP235;Trojan.Swizzor;Gelöscht.; A0025037.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP235;Trojan.LopAd;Gelöscht.; A0026875.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP250;Trojan.Swizzor;Gelöscht.; A0027911.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP250;Trojan.Swizzor;Gelöscht.; A0027912.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP250;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.; A0027913.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP250;Trojan.LopAd;Gelöscht.; A0027914.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP250;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.; A0027915.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP250;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.; A0027916.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP250;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.; A0027917.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP250;Trojan.LopAd;Gelöscht.; A0027918.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP250;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.; A0027919.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP250;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.; A0027920.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP250;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.; stdio.dll;D:\Programme\mIRC\script\dlls;IRC.Flood;Gelöscht.; stdio.dll;D:\Sonstiges\mIRC\script\dlls;IRC.Flood;Gelöscht.; A0027921.dll;D:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP250;IRC.Flood;Gelöscht.; Mir ist dabei aufgefallen, dass er noch mehrere "A0027....exe und dll"-Files gescannt hat, aber dort nicht angeschlagen hat. Auch im "System Volumne information"-Ordner. Werde jetzt das mit HJT machen. Danke nochmals. |
|
|
||
16.04.2006, 14:11
Moderator
Beiträge: 7805 |
#6
Das ist so schon in Ordnung. Drweb meldet das etwas sonderbar. Sprich es verschiebt manchmal dateien, anstatt sie gleich zu loeschen. Das Ergebniss ist das selbe, die Datei wird nach einem Neustart nicht mehr ausgefuehrt.
Diese A*.* Dateien loeschst du, indem du die Systemwiederherstellung deaktivierst und danach wieder aktivierst. Erklaerung dazu findest du auch oben in dem BSI Link. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
16.04.2006, 14:24
...neu hier
Themenstarter Beiträge: 6 |
#7
OK - habe jetzt sowohl mit HiJackThis die Registry-Einträge gefixt, als auch die Systemwiederherstellung deaktiviert und wieder aktiviert.
Bin ich nun wieder clean oder muss noch etwas getan werden? |
|
|
||
16.04.2006, 14:32
Moderator
Beiträge: 7805 |
#8
Ja, ein paar kleinigkeiten. Poste zur Kontrolle noch ein Hijackthis log.
Dann gebe unter Start/Ausfueren CMD ein und druecke enter, dadurch oeffnet sich ein MS-DOS Fenster. Dort gebe folgendes ein und druecke ebenfalls enter: del /ah c:\windows\tasks\*.job Du kannst die Zeile auch in die Dosbox mit Hilfe von Kopieren/einfuegen einfuegen und dann enter druecken. Es sollte keine Meldung erscheinen, wenn du enter gedrueckt hast. Das Fenster schliesst du, indem du exit eingibst und enter drueckst. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
16.04.2006, 14:41
...neu hier
Themenstarter Beiträge: 6 |
#9
Das neue HiJackThis-Log:
Logfile of HijackThis v1.99.1 Scan saved at 14:39:42, on 16.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\Sonstiges\Motherboard Monitor 5\MBM5.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\Sonstiges\Winamp\winampa.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe D:\Sonstiges\XFire\Xfire.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wscntfy.exe D:\Programme\HJW\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {473F16DB-ED54-6D8D-5F1E-ABEEB5EC6EAB} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {B0CD151E-D4F1-4474-9BED-7D0173050EAD} - (no file) O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [MBM 5] "D:\Sonstiges\Motherboard Monitor 5\MBM5.EXE" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WinampAgent] D:\Sonstiges\Winamp\winampa.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Xfire.lnk = D:\Sonstiges\XFire\Xfire.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121423977265 O17 - HKLM\System\CCS\Services\Tcpip\..\{49555E01-AE1C-4CB4-8C0A-4E620488537F}: NameServer = 192.168.1.1 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: iPod Service (iPodService) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing) Und habe den del-Befehl eingegeben - jetzt noch etwas? |
|
|
||
16.04.2006, 14:43
Moderator
Beiträge: 7805 |
#10
Nachtrag: Du solltest auch folgende Ordner noch loeschen:
C:\Dokumente und Einstellungen\Cokeser\Anwendungsdaten\Aim Live One C:\Dokumente und Einstellungen\Cokeser\Anwendungsdaten\ProxyMath C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Birddrvitchfree __________ MfG Ralf SEO-Spam Hunter |
|
|
||
16.04.2006, 14:48
...neu hier
Themenstarter Beiträge: 6 |
#11
Done.
Danke für die schnelle und kompetente Hilfe. Ist ja wirklich ein lästiger Trojaner - ich denke bei mir lag es an NetPumper, das ich mir vor einiger Zeit mal für kurze Zeit gezogen hatte, dann aber wieder deinstalliert hab - der Trojaner scheint draufgeblieben zu sein. Oder habe ich mich jetzt zu früh gefreut... ? |
|
|
||
16.04.2006, 15:18
Moderator
Beiträge: 7805 |
#12
Ja, das lag an NetpumperNein, das sollte schon passen...
Das solltset du noch loeschen: O2 - BHO: (no name) - {473F16DB-ED54-6D8D-5F1E-ABEEB5EC6EAB} - (no file) O2 - BHO: (no name) - {B0CD151E-D4F1-4474-9BED-7D0173050EAD} - (no file) Wichtig dabei ist, das der Teatimer aus und der IE geschlossen ist. Sollte es so immer noch nicht funktoineren, benutzt Spybot im erweiterten Modus dazu. Das Tool dazu findest du dort unter Werkzeuge/BHO. Ansonsten sieht der REchner sauber aus. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
Habe auch den netten Trojaner bei mir auf dem PC, hier das HiJack-Log:
Logfile of HijackThis v1.99.1
Scan saved at 22:47:11, on 15.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Sonstiges\Motherboard Monitor 5\MBM5.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Sonstiges\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Sonstiges\XFire\Xfire.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\mIRC\mirc.exe
C:\Programme\Crack-Attack\bin\crack-attack-gui.exe
C:\Programme\Crack-Attack\bin\crack-attack-gui.exe
C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Cokeser\LOKALE~1\Temp\Rar$EX00.609\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {473F16DB-ED54-6D8D-5F1E-ABEEB5EC6EAB} - C:\DOKUME~1\Cokeser\ANWEND~1\AIMLIV~1\window amok.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Xilokit Deskloops BHO - {B0CD151E-D4F1-4474-9BED-7D0173050EAD} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MBM 5] "D:\Sonstiges\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] D:\Sonstiges\Winamp\winampa.exe
O4 - HKLM\..\Run: [itch free slow hide] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Birddrvitchfree\Forkmp3.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [heckbeep] C:\DOKUME~1\Cokeser\ANWEND~1\PROXYM~1\Eq Program.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = D:\Sonstiges\XFire\Xfire.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121423977265
O17 - HKLM\System\CCS\Services\Tcpip\..\{49555E01-AE1C-4CB4-8C0A-4E620488537F}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service (iPodService) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
Was nun?