finde meinen Trojaner nícht

#0
21.10.2008, 20:35
...neu hier

Beiträge: 1
#1 Hallo, habe schon mit mcafee nach viren gescannt, aber immer noch einen trojaner ... Hijack hat folgendes log erstellt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:13:21, on 21.10.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNTNEU\System32\smss.exe
C:\WINNTNEU\system32\csrss.exe
C:\WINNTNEU\system32\winlogon.exe
C:\WINNTNEU\system32\services.exe
C:\WINNTNEU\system32\lsass.exe
C:\WINNTNEU\system32\svchost.exe
C:\WINNTNEU\system32\spoolsv.exe
C:\Programme\a-squared Anti-Dialer\a2service.exe
C:\Programme\a-squared Free\a2service.exe
C:\WINNTNEU\System32\svchost.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\WINNTNEU\system32\regsvc.exe
C:\Programme\AuCAPI20\rvs_cent.exe
C:\WINNTNEU\system32\MSTask.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNTNEU\system32\stisvc.exe
C:\WINNTNEU\System32\WBEM\WinMgmt.exe
C:\WINNTNEU\system32\svchost.exe
C:\Programme\Auerswald\COMsuite\program\Telemat.exe
C:\Programme\Auerswald\COMsuite\program\OSINSAP.exe
C:\WINNTNEU\Explorer.EXE
C:\Programme\Auerswald\COMsuite\program\TGCONV.EXE
C:\Programme\Auerswald\COMsuite\program\TGVOICE.EXE
C:\Programme\Auerswald\COMsuite\program\TELEGATE.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINNTNEU\system32\atiptaxx.exe
C:\Programme\a-squared Anti-Dialer\a2adguard.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\WINNTNEU\system32\internat.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\EPSON\EPSON CardMonitor\EPSON CardMonitor1.2.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\DOKUME~1\Stache\LOKALE~1\Temp\c.exe
C:\Programme\Network Associates\VirusScan\mcconsol.exe
C:\WINNTNEU\system32\taskmgr.exe
C:\Inst\Virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINNTNEU\system32\msxml71.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {07AA283A-43D7-4CBE-A064-32A21112D94D} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNTNEU\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINNTNEU\system32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe" /d=60
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SeekmoSA] "C:\Programme\Seekmo\bin\10.0.427.0\SeekmoSA.exe"
O4 - HKLM\..\Run: [DXDllRegExe] C:\WINNTNEU\RegisteredPackages\{44BBA855-CC51-11CF-AAFA-00AA00B6015C}\dxdllreg.exe
O4 - HKLM\..\Run: [nhjeppavidkzl] C:\WINNTNEU\System32\regsvr32.exe /s "C:\WINNTNEU\System32\izbhtdjpvxivu.dll"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSFox] C:\DOKUME~1\Stache\LOKALE~1\Temp\video119.cfg.exe
O4 - HKCU\..\Run: [DBWIN_BUFFER] C:\DOKUME~1\Stache\LOKALE~1\Temp\video119.cfg.exe
O4 - HKCU\..\Run: [F:\] C:\DOKUME~1\Stache\LOKALE~1\Temp\video119.cfg.exe
O4 - HKCU\..\Run: [G:\] C:\DOKUME~1\Stache\LOKALE~1\Temp\video119.cfg.exe
O4 - HKCU\..\Run: [J:\] C:\DOKUME~1\Stache\LOKALE~1\Temp\video119.cfg.exe
O4 - HKCU\..\Run: [Cognac] C:\DOKUME~1\Stache\LOKALE~1\Temp\i.exe
O4 - HKLM\..\Policies\Explorer\Run: [F:\] C:\Dokumente und Einstellungen\All Users.WINNTNEU\Anwendungsdaten\mxerkjit\mzwnifyz.exe
O4 - HKLM\..\Policies\Explorer\Run: [DBWIN_BUFFER] C:\Dokumente und Einstellungen\All Users.WINNTNEU\Anwendungsdaten\mxerkjit\mzwnifyz.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: EPSON CardMonitor.lnk = C:\Programme\EPSON\EPSON CardMonitor\EPSON CardMonitor1.2.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNTNEU\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNTNEU\web\related.htm
O10 - Unknown file in Winsock LSP: c:\winntneu\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1202836764375
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1202839686156
O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Programme\a-squared Anti-Dialer\a2service.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNTNEU\system32\Ati2evxx.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNTNEU\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNTNEU\system32\drivers\KodakCCS.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: RVS CAPI (RVS_CE) - RVS Datentechnik GmbH, München - C:\Programme\AuCAPI20\rvs_cent.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Auerswald UMS Server (telemat) - OSITRON GmbH - C:\Programme\Auerswald\COMsuite\program\Telemat.exe

--
End of file - 8805 bytes

Danke für Hinweise
Seitenanfang Seitenende
21.10.2008, 20:44
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINNTNEU\system32\msxml71.dll
O3 - Toolbar: (no name) - {07AA283A-43D7-4CBE-A064-32A21112D94D} - (no file)
O4 - HKLM\..\Run: [nhjeppavidkzl] C:\WINNTNEU\System32\regsvr32.exe /s "C:\WINNTNEU\System32\izbhtdjpvxivu.dll"
O4 - HKCU\..\Run: [MSFox] C:\DOKUME~1\Stache\LOKALE~1\Temp\video119.cfg.exe
O4 - HKCU\..\Run: [DBWIN_BUFFER] C:\DOKUME~1\Stache\LOKALE~1\Temp\video119.cfg.exe
O4 - HKCU\..\Run: [F:\] C:\DOKUME~1\Stache\LOKALE~1\Temp\video119.cfg.exe
O4 - HKCU\..\Run: [G:\] C:\DOKUME~1\Stache\LOKALE~1\Temp\video119.cfg.exe
O4 - HKCU\..\Run: [J:\] C:\DOKUME~1\Stache\LOKALE~1\Temp\video119.cfg.exe
O4 - HKCU\..\Run: [Cognac] C:\DOKUME~1\Stache\LOKALE~1\Temp\i.exe
O4 - HKLM\..\Policies\Explorer\Run: [F:\] C:\Dokumente und Einstellungen\All Users.WINNTNEU\Anwendungsdaten\mxerkjit\mzwnifyz.exe
O4 - HKLM\..\Policies\Explorer\Run: [DBWIN_BUFFER] C:\Dokumente und Einstellungen\All Users.WINNTNEU\Anwendungsdaten\mxerkjit\mzwnifyz.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNTNEU\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNTNEU\web\related.htm

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet

Wähle bei Reiter:
“Scanner”> "Quickscan durchfuehren".
“Update “> klicke “Suche nache Aktualisierungen“
“Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“
Scan laufen lassen

Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Malwarebytes Anti-Malware kann man nachher behalten !

Später kann man noch ein "Vollständiger Suchlauf“durchführen

Und ein log von Hijack This
__________
MfG Argus
Seitenanfang Seitenende