TROJANER!!! TR/Drop.Agent.stn gefunden, werde ihn nicht los!

#1 TROJANER!!! TR/Drop.Agent.stn gefunden, werd ihn nicht los!
habe diesen Trojaner über Antivir gefunden und werde ihn einfach nicht los wenn ich ihn lösche....Bin total verzweifelt was muss ich tun?kenne mich sogut wie garnicht mit pcs aus weiß wie ich surfe und einen virenscan mache ...bitte anleitung für anfänger....dankeschön euch allen...

#2 Lese und handel: http://board.protecus.de/t23188.htm

Zusaetzlich bitte Antivir wie folgt einstellen: http://board.protecus.de/t23979.htm Im abgesicherten Modus den Rechner pruefen und alle Funde in Quarantaene schieben, oder umbenennen lassen.

Bitte erst den Antivir Scan machen und dann die Reporte erstellen und posten, incl. Antivir Report.
__________
MfG Ralf
SEO-Spam Hunter

#3 auch ich habe ein dickes problem... habe seit einigen tagen einen trojaner drauf
Heur/Crypted"
und ich habe ihn mehrmals versucht zu bekämfen... habe das getan was anderen bei diesem virus geraten wurde...aber alles ohne erfolg...in zwischen komme ich kaum noch ins netz...er frist und frist....
wer kann mir helfen....auch ich bin neu hier und gehöre zu den blonden...kann mir jemand helfen???
LG kwchen

#4 Fuer dich gilt das Gleiche, wie fuer andreaha. Allerdings poste deine Informationen bitte in einen neuen Thread: http://board.protecus.de/newtopic.php?boardid=3

Danke
__________
MfG Ralf
SEO-Spam Hunter

#5 ComboFix 07-06-13.3 - F:\ComboFix.exe
"andrea" - 2007-06-17 22:30:54 - Service Pack 1 NTFS


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOKUME~1\andrea\Desktop.\internet explorer.lnk
C:\Programme\Gemeinsame Dateien\microsoft shared\web folders\ibm00006.dll
C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\wsnpoem
C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\video.dll


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_IPRIP
-------\Iprip
-------\nm


((((((((((((((((((((((((( Files Created from 2007-05-17 to 2007-06-17 )))))))))))))))))))))))))))))))


2007-06-17 22:18 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-17 21:45 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-06-15 10:46 1,140 --a------ C:\WINDOWS\mozver.dat
2007-06-15 10:36 0 --a------ C:\WINDOWS\nsreg.dat
2007-06-04 19:50 <DIR> d-------- C:\DOKUME~1\LOCALS~1\ANWEND~1\T-Online
2007-06-02 13:43 <DIR> d-------- C:\DOKUME~1\andrea\ANWEND~1\Ulead Systems
2007-06-02 13:43 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ulead Systems
2007-05-27 19:25 1,409,024 --a------ C:\WINDOWS\system32\MGIIpl4W7.dll
2007-05-27 19:25 1,351,680 --a------ C:\WINDOWS\system32\MGIIpl4M6.dll
2007-05-27 19:25 1,318,912 --a------ C:\WINDOWS\system32\MGIIpl4M5.dll
2007-05-27 19:25 1,191,936 --a------ C:\WINDOWS\system32\MGIIpl4P6.dll
2007-05-27 19:24 <DIR> d-------- C:\WINDOWS\Live Picture
2007-05-27 19:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MGI Shared
2007-05-27 19:24 <DIR> d-------- C:\DOKUME~1\andrea\ANWEND~1\MGI
2007-05-27 19:13 63,488 --a------ C:\WINDOWS\system32\PICN1111.DLL
2007-05-27 19:13 5,632 --a------ C:\WINDOWS\system32\HELLUT32.DLL
2007-05-27 19:13 458,752 --a------ C:\WINDOWS\system32\Fpl.dll
2007-05-27 19:13 45,568 --a------ C:\WINDOWS\system32\DC210.dll
2007-05-27 19:13 29,184 --a------ C:\WINDOWS\system32\Comm32.dll
2007-05-27 19:13 254,976 --a------ C:\WINDOWS\system32\SFWIUDLL.DLL
2007-05-27 19:13 24,576 --a------ C:\WINDOWS\system32\SFWUTS20.DLL
2007-05-27 19:13 24,576 --a------ C:\WINDOWS\system32\MGIIpl4.dll
2007-05-27 19:13 19,968 --a------ C:\WINDOWS\system32\CPUINF32.DLL
2007-05-27 19:13 126,976 --a------ C:\WINDOWS\system32\ipubgrnd.dll
2007-05-27 19:13 1,977,856 --a------ C:\WINDOWS\system32\LPControl.dll
2007-05-27 19:13 1,187,840 --a------ C:\WINDOWS\system32\MGIIpl4PX.dll
2007-05-27 19:12 71,168 --a------ C:\WINDOWS\system32\Camapi32.dll
2007-05-27 19:12 522,752 --a------ C:\WINDOWS\system32\DC120fc7_32.dll
2007-05-27 19:12 332,800 --a------ C:\WINDOWS\system32\FPXLIB.DLL
2007-05-27 19:12 32,768 --a------ C:\WINDOWS\system32\F210.dll
2007-05-27 19:12 29,184 --a------ C:\WINDOWS\system32\PICN11.DLL
2007-05-27 19:12 196,608 --a------ C:\WINDOWS\system32\opccli32.dll
2007-05-27 19:12 122,880 --a------ C:\WINDOWS\system32\JPEGLIB.DLL


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-10 14:08:19 -------- d-----w C:\DOKUME~1\andrea\ANWEND~1\Azureus
2007-06-02 12:23:00 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-12 09:47:31 -------- d-----w C:\DOKUME~1\andrea\ANWEND~1\Ahead
2007-05-11 10:57:36 -------- d-----w C:\Programme\T-Online
2007-05-11 10:55:14 -------- d-----w C:\Programme\OnlineControl
2007-05-10 17:28:53 88,242 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-05-10 17:28:53 468,382 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-05-10 12:04:30 -------- d-----w C:\DOKUME~1\andrea\ANWEND~1\T-DSL SpeedManager
2007-05-10 11:58:14 -------- d--h--w C:\Programme\WindowsUpdate
2007-05-09 20:02:51 -------- d-----w C:\DOKUME~1\andrea\ANWEND~1\T-Online
2007-05-06 17:44:17 -------- d-----w C:\DOKUME~1\andrea\ANWEND~1\InterTrust
2007-05-06 17:42:18 -------- d-----w C:\Programme\Syncrosoft
2007-05-06 17:40:49 -------- d-----w C:\DOKUME~1\andrea\ANWEND~1\pdfMachine
2007-05-06 17:25:26 -------- d-----w C:\Programme\Sierra On-Line
2007-05-06 16:51:32 -------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2007-05-06 16:42:10 -------- d-----w C:\Programme\Nero
2007-05-04 09:47:48 21,822,168 ----a-w C:\Programme\AdbeRdr80_en_US.exe
2007-05-03 18:06:09 -------- d-----w C:\DOKUME~1\andrea\ANWEND~1\Help
2007-05-03 10:52:56 -------- d-----w C:\Programme\EasyCash&Tax
2007-05-03 10:50:02 2,202,839 ----a-w C:\Programme\ECTSetup.exe
2007-05-03 07:16:22 -------- d-----w C:\Programme\Google
2007-05-02 14:34:04 -------- d-----w C:\DOKUME~1\andrea\ANWEND~1\Google
2007-05-02 12:54:25 370,328 ----a-w C:\Programme\jre-6u1-windows-i586-p-iftw.exe
2007-04-29 07:22:08 -------- d-----w C:\DOKUME~1\andrea\ANWEND~1\MSN6
2007-04-29 06:35:34 -------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-04-28 14:05:20 -------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-04-28 14:05:13 -------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-04-28 13:26:02 -------- d-----w C:\Programme\microsoft frontpage
2007-04-28 13:24:19 0 --sha-r C:\MSDOS.SYS
2007-04-28 13:24:19 0 --sha-r C:\IO.SYS
2007-04-28 13:24:19 0 ----a-w C:\CONFIG.SYS
2007-04-28 13:24:19 0 ----a-w C:\AUTOEXEC.BAT
2007-04-28 13:20:31 -------- d-----w C:\Programme\Online-Dienste
2007-04-28 13:19:39 -------- d-----w C:\Programme\Movie Maker
2007-04-28 13:18:57 -------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-04-28 13:18:44 -------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-04-28 13:17:05 21,740 ----a-w C:\WINDOWS\system32\emptyregdb.dat
2007-04-28 13:16:07 -------- d-----w C:\Programme\Online Services
2007-04-28 13:15:54 -------- d-----w C:\Programme\Messenger
2007-04-28 13:15:43 -------- d-----w C:\Programme\MSN Gaming Zone
2007-04-28 13:15:35 -------- d-----w C:\Programme\Windows NT
2007-03-30 13:44:54 261,480 ----a-w C:\WINDOWS\system32\xactengine2_7.dll
2007-03-30 13:43:20 81,768 ----a-w C:\WINDOWS\system32\xinput1_3.dll
2007-03-30 13:42:50 66,408 ----a-w C:\WINDOWS\system32\dxdllreg.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]
{AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\programme\google\googletoolbar2.dll [2007-05-02 16:33]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"MsmqIntCert"="regsvr32 /s mqrt.dll" []
"ToADiMon.exe"="C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2005-06-27 14:32]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 03:43]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 19:04]
"SIPPS"="C:/PROGRAMME/T-ONLINE/T-ONLINE_SOFTWARE_6/INTERNET-TELEFON/Phone.exe" [2005-07-06 15:51 C:\Programme\T-Online\T-Online_Software_6\Internet-Telefon\Phone.exe]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"InfoCockpit"=C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\WINDOWS\System32\msnfonf.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InfoCockpit]
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AVGEMS"=2 (0x2)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - netsvcs
NtmlSvc

*Newly Created Service* - SSMDRV

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-17 22:37:43
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************

Completion time: 2007-06-17 22:42:43 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-06-17 22:42

--- E O F ---
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 18. Juni 2007 08:10

Es wird nach 829791 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 1) [5.1.2600]
Benutzername: andrea
Computername: ANDREA-BCQEFFXA

Versionsinformationen:
BUILD.DAT : 247 14437 Bytes 10.05.2007 11:52:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 20.04.2007 11:37:08
AVSCAN.DLL : 7.0.4.0 41000 Bytes 07.03.2007 07:39:18
LUKE.DLL : 7.0.4.11 143400 Bytes 27.03.2007 11:26:00
LUKERES.DLL : 7.0.4.0 10792 Bytes 27.02.2007 10:19:06
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 13:08:58
ANTIVIR1.VDF : 6.38.1.170 5569024 Bytes 21.05.2007 19:48:49
ANTIVIR2.VDF : 6.38.2.24 492032 Bytes 12.06.2007 19:48:49
ANTIVIR3.VDF : 6.39.0.24 162304 Bytes 16.06.2007 19:48:49
AVEWIN32.DLL : 7.4.0.32 2478592 Bytes 17.06.2007 19:48:49
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23
AVPREF.DLL : 7.0.2.1 24616 Bytes 27.03.2007 11:20:44
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVPACK32.DLL : 7.3.0.12 360488 Bytes 17.06.2007 19:48:49
AVREG.DLL : 7.0.1.2 31784 Bytes 15.03.2007 08:05:04
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27.03.2007 11:16:01
AVARKT.DLL : 1.0.0.17 278568 Bytes 02.05.2007 10:32:22
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13.03.2007 09:46:00
RCTEXT.DLL : 7.0.45.0 86056 Bytes 16.03.2007 12:39:00

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 18. Juni 2007 08:10

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '10' Prozesse mit '10' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '14' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\QooBox\Quarantine\C\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00006.dll.vir
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46e327d6.qua' verschoben!
Beginne mit der Suche in 'F:\'
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Montag, 18. Juni 2007 09:19
Benötigte Zeit: 1:09:44 min

Der Suchlauf wurde vollständig durchgeführt.

4599 Verzeichnisse wurden überprüft
160116 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
1 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
160114 Dateien ohne Befall
2547 Archive wurden durchsucht
1 Warnungen
410 Hinweise
0 Versteckte Objekte wurden gefunden

Bitte nur die Eintraege der letzten 3 Monate posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E0A7-D6BD

Verzeichnis von C:\WINDOWS\system32

16.06.2007 09:24 2.206 wpa.dbl
03.06.2007 10:34 270.192 FNTCACHE.DAT
11.05.2007 13:02 27.503 NULL
10.05.2007 19:28 444.358 perfh009.dat
10.05.2007 19:28 75.056 perfc009.dat
10.05.2007 19:28 468.382 perfh007.dat
10.05.2007 19:28 88.242 perfc007.dat
10.05.2007 19:28 1.087.952 PerfStringBackup.INI
10.05.2007 19:25 525 mapisvc.inf
06.05.2007 20:13 2.549 Lexmark Z22-Z32 Series.AD2
06.05.2007 20:10 96 bgscfg.1
06.05.2007 19:40 933.888 o2cAreas.ocx
06.05.2007 19:40 1.208.320 O2CPlayer.ocx
06.05.2007 19:40 571 FeMakro.ini
06.05.2007 19:40 497 FeAnim.ini
02.05.2007 15:04 4.254 jupdate-1.6.0_01-b06.log
29.04.2007 08:50 16.832 amcompat.tlb
29.04.2007 08:50 23.392 nscompat.tlb
28.04.2007 16:12 0 h323log.txt
28.04.2007 15:35 25.065 wmpscheme.xml
28.04.2007 15:31 261 $winnt$.inf
28.04.2007 15:24 2.951 CONFIG.NT
28.04.2007 15:21 488 logonui.exe.manifest
28.04.2007 15:21 488 WindowsLogon.manifest
28.04.2007 15:20 749 cdplayer.exe.manifest
28.04.2007 15:20 749 wuaucpl.cpl.manifest
28.04.2007 15:20 749 sapi.cpl.manifest
28.04.2007 15:20 749 nwc.cpl.manifest
28.04.2007 15:20 749 ncpa.cpl.manifest
28.04.2007 15:17 21.740 emptyregdb.dat
02.04.2007 14:21 428.032 swreg.exe
30.03.2007 15:44 261.480 xactengine2_7.dll
30.03.2007 15:43 81.768 xinput1_3.dll
30.03.2007 15:42 66.408 dxdllreg.exe
15.03.2007 16:57 443.752 d3dx10_33.dll
14.03.2007 02:04 139.264 javaws.exe
14.03.2007 02:04 69.632 javacpl.cpl
14.03.2007 00:31 135.168 javaw.exe
14.03.2007 00:31 135.168 java.exe
12.03.2007 16:42 3.495.784 d3dx9_33.dll
12.03.2007 16:42 1.123.696 D3DCompiler_33.dll
05.03.2007 12:42 15.128 x3daudio1_1.dll


Logfile of HijackThis v1.99.1
Scan saved at 09:35:49, on 18.06.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\INTERNET-TELEFON\Phone.exe
C:\Programme\OnlineControl\ocontrol.exe
F:\Ulead\CalCheck.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\EMAIL\MAIL.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\andrea\Desktop\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SIPPS] "C:/PROGRAMME/T-ONLINE/T-ONLINE_SOFTWARE_6/INTERNET-TELEFON/Phone.exe"
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = F:\Ulead\CalCheck.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O20 - AppInit_DLLs: C:\WINDOWS\System32\msnfonf.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe

#6 Schaue bitte, ob du im Ordner C:\Programme\Gemeinsame Dateien\microsoft shared\web folders noch eine Datei mit Namen IBM*.dll findest.
Teste die Dateien
C:\QooBox\Quarantine\C\windows\system32\ntos.exe.vir
C:\WINDOWS\System32\msnfonf.dll

bitte bei Jotti oder Virustotal und schrieb, was gemeldet wird.
__________
MfG Ralf
SEO-Spam Hunter

#7 Nutze bitte einmal Blacklight: http://virus-protect.org/artikel/tools/rootkithook.html und poste den erstellten Report.
Mache bitte auch alle Dateiensichtbar, vieleicht findest du die C:\WINDOWS\System32\msnfonf.dll dann. http://freenet-homepage.de/rene-gad/invisible.html

Wenn dort keine IBM*.dll mehr ist, ist das gut!
__________
MfG Ralf
SEO-Spam Hunter

#8 C:\WINDOWS\System32\msnfonf.dll die datei habe ich noch immer nicht gefunden auch nachdem ich alle unsichtbaren datei sichtbar gemacht habe.
IBM*.dll ist nicht zu sehen und wird nicht angezeigt also gut :o)
kein report von Blacklight dort stand nur:
scan targets:
hidden processes
hidden files and folder
status:
scan completed
no hidden items were found
summary:
hidden items found 0
items queued for renaming 0
....so und nu?war es das?liebe grüße und dank
Das habe ich noch auf meinem desktop gefunden:

06/18/07 11:36:29 [Info]: BlackLight Engine 1.0.61 initialized
06/18/07 11:36:29 [Info]: OS: 5.1 build 2600 (Service Pack 1)
06/18/07 11:36:30 [Note]: 7019 4
06/18/07 11:36:30 [Note]: 7005 0
06/18/07 11:36:33 [Note]: 7006 0
06/18/07 11:36:33 [Note]: 7011 1280
06/18/07 11:36:33 [Note]: 7026 0
06/18/07 11:36:33 [Note]: 7026 0
06/18/07 11:36:37 [Note]: FSRAW library version 1.7.1021
06/18/07 11:50:33 [Note]: 7007 0

#9 Dann hake bitte diesen Eintrag in Hijackthis an und druecke fix checked:
O20 - AppInit_DLLs: C:\WINDOWS\System32\msnfonf.dll
Starte dann neu und schaue, ob er Eintrag verschwunden ist. Ist er es, dann aktualisiere dein windows via www.windowsupdate.com
__________
MfG Ralf
SEO-Spam Hunter

#10 so...habe den haken gemacht. eintrag ist dann auch verschwunden und habe jetzt windows update gemacht....fertig....und jetzt fertig?trojaner entfernt?lg andrea

#11 Dann mache bitte ein neues Hijackthis log. Zur letzten Kontrolle. Denke daran die ibm00006.dll.vir an Antivir zu schicken.
__________
MfG Ralf
SEO-Spam Hunter

#12 Habe ein neues Hijackthis log. gemacht.O20 - AppInit_DLLs wird nicht mehr angezeigt und habe ibm00006.dll.vir an antivir gesendet.....alles fertig?

#13 Ich wuerde sagen, das passt.....
__________
MfG Ralf
SEO-Spam Hunter

#14 man ich bin heilfroh das mit eurer hilfe hinbekommen zu haben....vielen lieben dank nochmal....gruß andrea

#15 Super. Wenn du die Datei verschickt hast, kannst du diesen Ordner loeschen: C:\QooBox\
__________
MfG Ralf
SEO-Spam Hunter