Hijack

Hey,

unbedingt ein Antiviren programm laufen lassen . Dein Pc ist mit einem extrem schweren Botwurm infiziert!! Unbedingt die Reinigungsroutine durchführen oder das System neu aufstzen!

Sir Mannor

Hallo Sushi-Mann,

die ersten beiden Einträge sind von einer Spyware, der letzte kann ein Trojaner oder sogar ein Backdoor sein.
Um Aufschluss darüber zu bekommen, überprüfe deinen PC dringend mit dem Freeware Online-Scanner von F-Secure.
Für eine schnelle und kostenlose Überprüfung des kompletten Systems bietet dieser
Online-Scanner gute Dienste und liefert eine zweite Meinung. Übrigens, er läuft nur unter dem Microsoft Internet Explorer mit ActiveX und besitzen eine Reinigungsfunktion.

Beachte bitte dabei die folgende Anleitung genau und arbeite sie unbedingt in der Reihenfolge und vollständig ab!

Deaktiviere zuerst die Systemwiederherstellung von Windows, nur bei XP und ME.
Eine Anleitung dazu findet man unter: http://www.bsi.de/av/texte/wiederher.htm

Lösche bitte deinen Browser-Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
und führe den Befehl Cleaner aus.

F-Secure Online Scanner
http://support.f-secure.com/enu/home/ols3.shtml
(Einige wenige Teile der Software sind in Englisch)
Wähle die Option “Vollständiger Systemscan“

Zur Kontrolle sollte noch eine Überprüfung mit dem kostenlosen Online-Scanner von Ewido  vorgenommen werden.
Zum Teil in Englisch und nur für Windows XP und 2000
http://www.ewido.net/de/onlinescan/
Gut bei der Spyware / Adware Erkennung und Beseitigung.
Wenn Malware entdeckt, muss nach dem Scan der Button “Remove Infections“ gedrückt werden, damit die Schadprogrammen automatisch beseitigen.
(Eventuellen Meldungen beim Scan von Ewido unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar)

Poste bitte auf jeden Fall die ausführlichen Berichte der Scanner hier !
Boote jetzt den PC neu und aktiviere die Systemwiederherstellung wieder.

Zum Schluss erstelle ein neues  HijackThis-Log und poste den Logfile vollständig hier.

Danke das werd ich gleich mal machen.
Hab mit sowas aber noch keine Erfahrung muss ich angst um meine Daten haben?

MFG Sushi-Mann

Danke das werd ich gleich mal machen.
Hab mit sowas aber noch keine Erfahrung muss ich angst um meine Daten haben?

MFG Sushi-Mann

So hab jetzt alles so gemacht der scan hat folgendes ergeben:

Result: 6 malware found
Tracking Cookie (spyware)

    * System (Disinfected)
    * System
    * System
    * System

Trojan-Proxy.Win32.Horst.pp (virus)

    * C:\DOKUMENTE UND EINSTELLUNGEN\$NASH\LOKALE EINSTELLUNGEN\TEMPSETUP.EXE (Renamed & Submitted)

Zlob.KKR (virus)

    * C:\UT2004\KEYGEN.EXE (Submitted)

Statistics
Scanned:

    * Files: 31757
    * System: 4482
    * Not scanned: 3

Actions:

    * Disinfected: 1
    * Renamed: 1
    * Deleted: 0
    * None: 4
    * Submitted: 2

Files not scanned:

    * C:\PAGEFILE.SYS
    * C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
    * C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT

Options
Scanning engines:

    * F-Secure Libra: 2.4.2, 2006-12-14
    * F-Secure AVP: 7.0.171, 2006-12-14
    * F-Secure Orion: 1.2.37, 2006-12-13
    * F-Secure Blacklight: 1.0.31, 0000-00-00
    * F-Secure Draco: 1.0.35, 0260-02-44
    * F-Secure Pegasus: 1.19.0, 2006-11-13

Scanning options:

    * Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
    * Use Advanced heuristics

Von den 6 Infektionen sind nur die zwei von Bedeutung:
* C:\DOKUMENTE UND EINSTELLUNGEN\$NASH\LOKALE EINSTELLUNGEN\TEMPSETUP.EXE
= Trojan-Proxy.Win32.Horst.pp

* C:\UT2004\KEYGEN.EXE
= Zlob.KKR

Lösche die beiden Dateien per Hand, sofern sie noch auf der Festplatte sind !
Bitte scanne unbedingt zur Kontrolle noch mit Ewido und poste den Scanbericht hier,
ebenso den neuen  HijackThis-Log.

So Ewido hat außern paar cookies nix gefunden :
Und die beiden Datein hab ich gelöscht.
__________________________________________________
ewido anti-spyware online scanner
   http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Falkag
Path: :mozilla.21:C:\Dokumente und Einstellungen\$nash\Anwendungsdaten\Mozilla\Firefox\Profiles\w3rs8a2e.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.22:C:\Dokumente und Einstellungen\$nash\Anwendungsdaten\Mozilla\Firefox\Profiles\w3rs8a2e.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.23:C:\Dokumente und Einstellungen\$nash\Anwendungsdaten\Mozilla\Firefox\Profiles\w3rs8a2e.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.24:C:\Dokumente und Einstellungen\$nash\Anwendungsdaten\Mozilla\Firefox\Profiles\w3rs8a2e.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.25:C:\Dokumente und Einstellungen\$nash\Anwendungsdaten\Mozilla\Firefox\Profiles\w3rs8a2e.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.26:C:\Dokumente und Einstellungen\$nash\Anwendungsdaten\Mozilla\Firefox\Profiles\w3rs8a2e.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Addcontrol
Path: :mozilla.33:C:\Dokumente und Einstellungen\$nash\Anwendungsdaten\Mozilla\Firefox\Profiles\w3rs8a2e.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Quarterserver
Path: :mozilla.34:C:\Dokumente und Einstellungen\$nash\Anwendungsdaten\Mozilla\Firefox\Profiles\w3rs8a2e.default\cookies.txt
Risk: Medium


MFG Sushi-Mann

Hallo,

Text nicht zu Ende gelesen,oder warum tut sich heir nichts ?

Zum Schluss erstelle ein neues  HijackThis-Log und poste den Logfile vollständig hier.
Sir Reklov

so hier noch das hiJack log:
Logfile of HijackThis v1.99.1
Scan saved at 15:23:55, on 15.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AlienGUIse\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\$nash\LOKALE~1\Temp\_PA365\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe] "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe"
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {2E5C5AC8-EB95-4B65-8CC1-E83A3AE56D59} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {2E5C5AC8-EB95-4B65-8CC1-E83A3AE56D59} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139824417250
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139824399140
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O20 - Winlogon Notify: WB - C:\Programme\AlienGUIse\fastload.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

HijackThis incl Auswertung mit Bildern :
http://www.computerhilfen.de/hilfen-17-235710-0.html
Zusammenfassung  ggf hier posten.

Hallo,
sieht gut aus.....
Gibt es noch Probleme ?
Sir Reklov

Hi

ne keine Probleme mehr hab keine Viren etc. mehr.
Danke für die Hilfe!

MFG Sushi-Mann