Forum
Tipps
News
Menu-Icon

HILFE Problem über Problem: Hier mein Logfile HILFE

Logfile of HijackThis v1.99.1
Scan saved at 23:47:04, on 03.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Elantech\ktp3.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Shareaza\Shareaza.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\atmclk.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\Alex\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.targa.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Resources - {2D38A51A-23C9-48a1-A33C-48675AA2B494} - (no file)
O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\system32\hp101.tmp
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [KTPWare] C:\Programme\Elantech\ktp3.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.targa.de
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.i-lookup.com
O15 - Trusted Zone: *.offshoreclicks.com
O15 - Trusted Zone: *.teensguru.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121868772625
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: winwly32 - C:\WINDOWS\SYSTEM32\winwly32.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Ati2bres - ATI Technologies Inc. - (no file)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Das ist der Stand der Dinge... ich glaube da ist viel Müll dabei... kann mir jemand helfen?



Antworten zu HILFE Problem über Problem: Hier mein Logfile HILFE:

Hallo,

mindestes mit einen Trojaner und einer Spyware ist dein System infiziert.
Anbei eine erste Hilfe um das Problem zu lösen.
Lade dir die kostenlose Software von Ewido herunter.
ewido anti-malware, ca. 7,6 MB, Entwickelt für Windows 2000 und XP
http://www.ewido.net/de/download/
Bei der Installation bitte nicht den Hintergrundwächter aktivieren.
Nach der Installation der Software ist unbedingt noch das Update einzuspielen !
(Eventuellen Meldungen beim Scan von Ewido unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar.)
Um eine optimale Überprüfung mit dem Tool zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm
eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren

Zur Kontrolle sollte noch eine Überprüfung mit dem kostenlosen Online-Scanner von Panda vorgenommen werden.
Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)

Bei Rückfragen bitte immer die Scan-Protokolle hier posten.
Zum Schluss wiederhole den HijackThis-Log und poste den Logfile hier.

Mein System lässt sich nicht im abgesicherten Modus hochfahren. Kann ich das Progi, welches du mir empfohlen hast, auch im Normalmodus nutzen, oder bringt das dann eher wenig?

“Mein System lässt sich nicht im abgesicherten Modus hochfahren.“
Wieso?

Du kannst Ewido selbstverständlich auch im normalen Modus benützen.
Versuche gleich nach den Scan den PC im abgesicherten Modus zu booten und wiederhole dort den Scan.
Scanne den PC unbedingt auch mit den Online Scanner von Panda, im normalen Modus!

so. www.pandasaoftware.com funktioniert nicht. der log von ewido ist hier:



---------------------------------------------------------
 ewido anti-malware - Scan Report
---------------------------------------------------------

 + Erstellt am:      13:44:05, 04.06.2006
 + Report-Checksumme:   4A982362

 + Scanergebnis:

   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\\kernel32.dll -> Trojan.Small : Gesäubert mit Backup
   [668] C:\WINDOWS\system32\winwly32.dll -> Trojan.Agent.qt : Gesäubert mit Backup
   :mozilla.17:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\etrn729f.default\cookies.txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup
   :mozilla.21:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\etrn729f.default\cookies.txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
   :mozilla.22:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\etrn729f.default\cookies.txt -> TrackingCookie.Addcontrol : Gesäubert mit Backup
   :mozilla.25:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\etrn729f.default\cookies.txt -> TrackingCookie.Xhit : Gesäubert mit Backup
   :mozilla.26:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\etrn729f.default\cookies.txt -> TrackingCookie.Xhit : Gesäubert mit Backup
   :mozilla.28:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\etrn729f.default\cookies.txt -> TrackingCookie.Adition : Gesäubert mit Backup
   :mozilla.29:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\etrn729f.default\cookies.txt -> TrackingCookie.Adition : Gesäubert mit Backup
   :mozilla.30:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\etrn729f.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
   :mozilla.31:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\etrn729f.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
   :mozilla.32:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\etrn729f.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
   :mozilla.33:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\etrn729f.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
   :mozilla.34:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\etrn729f.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
   :mozilla.35:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\etrn729f.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
   :mozilla.47:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\etrn729f.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup
   :mozilla.48:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\etrn729f.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup
   :mozilla.50:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\etrn729f.default\cookies.txt -> TrackingCookie.Googleadservices : Gesäubert mit Backup
   :mozilla.71:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\etrn729f.default\cookies.txt -> TrackingCookie.Fastclick : Gesäubert mit Backup
   :mozilla.72:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\etrn729f.default\cookies.txt -> TrackingCookie.Fastclick : Gesäubert mit Backup
   :mozilla.73:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\etrn729f.default\cookies.txt -> TrackingCookie.Fastclick : Gesäubert mit Backup
   :mozilla.76:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\etrn729f.default\cookies.txt -> TrackingCookie.Casalemedia : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\alex@2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\[email protected][1].txt -> TrackingCookie.Adition : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\[email protected][1].txt -> TrackingCookie.Yieldmanager : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\[email protected][1].txt -> TrackingCookie.Pointroll : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\[email protected][1].txt -> TrackingCookie.71i : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\alex@adtech[1].txt -> TrackingCookie.Adtech : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\alex@advertising[1].txt -> TrackingCookie.Advertising : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\[email protected][1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\[email protected][1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\alex@atdmt[2].txt -> TrackingCookie.Atdmt : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\alex@casalemedia[2].txt -> TrackingCookie.Casalemedia : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\alex@com[1].txt -> TrackingCookie.Com : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\[email protected][2].txt -> TrackingCookie.Xhit : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\alex@doubleclick[2].txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\[email protected][2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\alex@fastclick[2].txt -> TrackingCookie.Fastclick : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\alex@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\alex@komtrack[2].txt -> TrackingCookie.Komtrack : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\[email protected][2].txt -> TrackingCookie.Fastclick : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\alex@mediaplex[1].txt -> TrackingCookie.Mediaplex : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\[email protected][2].txt -> TrackingCookie.Tfag : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\[email protected][1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\alex@statcounter[1].txt -> TrackingCookie.Statcounter : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\alex@tacoda[1].txt -> TrackingCookie.Tacoda : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\alex@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\alex@trafficcenter[1].txt -> TrackingCookie.Trafficcenter : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Cookies\alex@weborama[2].txt -> TrackingCookie.Weborama : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\win1B.tmp.exe -> Hijacker.Small : Gesäubert mit Backup
   C:\WINDOWS\system32\1024 -> Trojan.Small : Gesäubert mit Backup
   C:\WINDOWS\system32\1024\ld5D0A.tmp -> Trojan.Small : Gesäubert mit Backup
   C:\WINDOWS\system32\1024\ld606F.tmp -> Trojan.Small : Gesäubert mit Backup
   C:\WINDOWS\system32\atmclk.exe -> Trojan.Small : Gesäubert mit Backup
   C:\WINDOWS\system32\winwly32.dll -> Trojan.Agent.qt : Gesäubert mit Backup


::Report Ende

großartig was geändert hat sich aber nicht... der abgesicherte modus geht nach wie vor nicht.

hier noch ein aktueller hijacklog:

Logfile of HijackThis v1.99.1
Scan saved at 13:55:19, on 04.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Elantech\ktp3.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Alex\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.targa.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Resources - {2D38A51A-23C9-48a1-A33C-48675AA2B494} - (no file)
O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\system32\hp100.tmp
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [KTPWare] C:\Programme\Elantech\ktp3.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.targa.de
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.i-lookup.com
O15 - Trusted Zone: *.offshoreclicks.com
O15 - Trusted Zone: *.teensguru.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121868772625
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: winwly32 - winwly32.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Ati2bres - ATI Technologies Inc. - (no file)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

vielen dank übrigens für deine hilfestellung!

Hi,

Ewido hat zwei Trojaner gefunden und entfernt.
Fixe nun alle Bösen Einträge gemäß dem Logfile of HijackThis und zusätzlich diese

O2 - BHO: Windows Resources - {2D38A51A-23C9-48a1-A33C-48675AA2B494} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O15 - Trusted Zone: *.i-lookup.com
O15 - Trusted Zone: *.offshoreclicks.com
O15 - Trusted Zone: *.teensguru.com
O20 - Winlogon Notify: winwly32 - winwly32.dll (file missing)

Hast du den Online Scanner von Panda über den Microsoft IE Browser gestartet?
Über Firefox ist diese nicht möglich!
ActiveX muss aktiviert sein!

Hier noch zwei alternativ Online Scanner die du ausprobieren solltest:
BitDefender Online Scanner
http://www.bitdefender.de/bd/site/page.php#
Trend Micros kostenloser Online-Virenscanner
http://de.trendmicro-europe.com/consumer/housecall/housecall_launch.php
Anmerkung: Läuft auch mit Firefox.

Wichtig!
Bei allen diesen Aktionen sollte die Systemwiederherstellung ausgeschaltet bleiben.
Ansonsten besteht die große Gefahr, das sich die Malware wieder ins System einnistet.

Warum starte dein PC nicht im abgesicherten Modus?
Bitte mal eine genaue Fehlerbereibung hier posten.

hier ist mein activescan-Bericht:

Ereignis                                                                        Zustand                       Standort                                                                                                                                                                                                                                                       

Adware:adware/securityerror                                                     Nicht desinfiziert            c:\windows\system32\ot.ico                                                                                                                                                                                                                                     
Adware:adware/ist.istbar                                                        Nicht desinfiziert            C:\Dokumente und Einstellungen\Alex\Favoriten\~ VIP Free --- ~.url                                                                                                                                                                                             
Adware:adware/yazzlesudoku                                                      Nicht desinfiziert            Windows-Registry                                                                                                                                                                                                                                               
Adware:adware/ncase                                                             Nicht desinfiziert            Windows-Registry                                                                                                                                                                                                                                               
Adware:adware/cws                                                               Nicht desinfiziert            Windows-Registry                                                                                                                                                                                                                                               
Adware:adware/digikeygen                                                        Nicht desinfiziert            Windows-Registry                                                                                                                                                                                                                                               
Adware:adware/cws.searchmeup                                                    Nicht desinfiziert            Windows-Registry                                                                                                                                                                                                                                               
Spyware:spyware/shopnav                                                         Nicht desinfiziert            Windows-Registry                                                                                                                                                                                                                                               
Spyware:Cookie/Falkag                                                           Nicht desinfiziert            C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\etrn729f.default\cookies.txt[as1.falkag.de/]                                                                                                                                       
Spyware:Cookie/Clicktracks                                                      Nicht desinfiziert            C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\etrn729f.default\cookies.txt[stats1.clicktracks.com/]                                                                                                                             
Spyware:Cookie/Apmebf                                                           Nicht desinfiziert            C:\Dokumente und Einstellungen\Alex\Cookies\alex@apmebf[1].txt                                                                                                                                                                                                 
Spyware:Cookie/Atwola                                                           Nicht desinfiziert            C:\Dokumente und Einstellungen\Alex\Cookies\alex@atwola[2].txt                                                                                                                                                       

wenn ich versuche im abgesicherten Modus zu booten listet er mir eine Reihe von dingen auf (ca.1-2 sek) und dannach zeigt er mir eine dll an, die ich mit esc überspringen kann (ca. 10 sek). dannach habe ich oben links einen blinkenden unterstrich, bei dem er verweilt.

Scanne deinen PC mit Trend Micro Anti-Spyware, Free Online Spyware Removal Utility,
Nur in Englisch und für Windows XP und 2000
http://www.trendmicro.com/spyware-scan/

Weiter lade die Testversion AntiSpyWare von Ashampoo herunter und scanne auch den PC damit, aber erst nachdem ein Update vorgenommen wurde:
http://www.ashampoo.com/frontend/products/php/product.php?session_langid=1&idstring=0049

Zum Schluss wiederhole noch mal den Scan mit dem Online-Scanner von Panda
Bei Rückfragen bitte alle Scanergebnisse hier posten.

Zum abgesicherten Modus:
Die dll Datei hat auch einen Namen, oder ?
Und Windows zeigt auch eine Meldung an.
Beides bitte noch posten.

leider funktioniert die trendmicro software nicht, obwohl ich den neuesten IE habe und ich auch das activex element instaliert habe. er sagt mir bei der initialisierung ungefähr 10 scriptfehler an... echt verhext mein system.
ACHSO: Zitat: "Fixe nun alle Bösen Einträge gemäß dem Logfile of HijackThis..." - hijackthis sagt einem doch garnicht, was gut und was schlecht ist... ich habe nur die sachen gefixt, die du mir gesagt hast.
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.xxxtoolbar.com
ist das nicht auch beides dreck?

Hi,
um zu wissen was Böse ist musst du deinen Log über die Homepage von HijackThis auswerten lassen.

Also die folgenden sind Böse:

C:\WINDOWS\system32\dcomcfg.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

Und eben diese beide, die du schon richtig als Böse eingestuft hast:
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.xxxtoolbar.com

Achtung!
Zuvor sollte du aber erst noch dieses Tool einsetzen:
Ein Removaltool gegen Smitfraud und Co., in englischer Sprache.
Eine kurze Anleitung in Deutsch ist auf der Homepage vorhanden und sollte unbedingt genau befolgt werden.
http://siri.urz.free.fr/Fix/SmitfraudFix_De.php

Hast du schon die Testversion AntiSpyWare von Ashampoo eingesetzt?

smitfraud geht nicht --> abgesicherter modus. antispyware hab ich noch nicht benutzt. kann ich die einträge nicht auch ohne smitfraud benutzt zu haben fixen?


« Mail von eBay-Service. Ist es echt? Bitte helfen!Rechner bootet nicht, Laufwerke klackern komisch »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Logfile
Eine Log-Datei ist eine Datei mit einer Art Protokoll, dass Aufschluss gibt über jegliche Aktivität auf einem Rechner. Das automatrisch geführte Protokoll ...

HiJackThis
Unter dem Begriff HiJackThis verbirgt sich ein  Sicherheitsprogramm, dass den Computer nach Schad-Programmen und Viren durchsucht. Dazu werden spezielle Bereiche in ...

Scanner
Der Scanner, abgeleitet vom englischen Wort "to scan" für "abtasten", ist ein Gerät zur Digitalisierung von Bildern, Fotos und Dokumenten. M...