Bitte um Auswertung

[ebene23]

Hallo,
hier das logfile von meinem Laptop:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 11:15:34, on 10.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\server\Apache2\bin\Apache.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\server\mysql\bin\mysqld-nt.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Dantz\Retrospect\retrorun.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
C:\server\Apache2\bin\Apache.exe
C:\WINDOWS\MXOALDR.EXE
C:\WINDOWS\stisvsq.exe
C:\WINDOWS\svshost.exe
C:\WINDOWS\msqdevl.exe
C:\WINDOWS\lssas.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS\mservice.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\server\Apache2\bin\ApacheMonitor.exe
C:\server\mysql\bin\winmysqladmin.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: VBRunDLL Class - {197B8CA4-E215-46DD-8F33-E0544A80E5C4} - C:\WINDOWS\System32\vbrundll.dll
O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINDOWS\System32\nsr175.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SAMSUNG Keydefin] C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Internet Connection Wizard] stisvsq.exe
O4 - HKLM\..\Run: [Games Acceleration] svshost.exe
O4 - HKLM\..\Run: [Internet Mail and News] msqdevl.exe
O4 - HKLM\..\Run: [Microsoft Management Console] lssas.exe
O4 - HKLM\..\Run: [Multimedia extensions] mservice.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft Internet Acceleration Utility] iau.exe
O4 - HKLM\..\Run: [regsync] C:\WINDOWS\System32\regsync.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [x3yy] C:\WINDOWS\System32\x3yy\iiqnhljb.exe
O4 - HKCU\..\Run: [Internet Connection Wizard] stisvsq.exe
O4 - HKCU\..\Run: [Games Acceleration] svshost.exe
O4 - HKCU\..\Run: [Internet Mail and News] msqdevl.exe
O4 - HKCU\..\Run: [Microsoft Management Console] lssas.exe
O4 - HKCU\..\Run: [Multimedia extensions] mservice.exe
O4 - HKCU\..\Run: [Microsoft Internet Acceleration Utility] iau.exe
O4 - Startup: mov06[1].exe
O4 - Startup: WinMySQLadmin.lnk = C:\server\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Monitor Apache Servers.lnk = C:\server\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1D168290-F3DF-4842-94C3-2862596771FB} (Yahoo! Fotos Easy Upload Tool Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/ydropper/ydropper1_3de.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/25eb7b94525c84f23820/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAD67144-CDC1-490C-914E-651C5429A704}: NameServer = 192.168.5.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5130A1B-8A17-42BD-BFBF-78205E6A8254}: NameServer = 192.168.5.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Apache2 - Unknown owner - C:\server\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: MySql - Unknown owner - C:/server/mysql/bin/mysqld-nt.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programme\Dantz\Retrospect\retrorun.exe

Nach kurzer Zeit surfen gehen neue Fenster auf, die aber (scheinbar) nichts laden. Was stimmt nicht?
Bitte helft mir. Danke schonmal!
Gruß Alex

[Ruby]

Hallo ebene23,

du hast einiges an Adware, den Sober und eine Trojaner-Sammlung auf deinem System.

Deaktiviere die Systemwiederherstellung

Lade eine Trial-Version von Ewido runter.
Update das Programm online.
Trenne die Internetverbindung.

Geh in den abgsicherten Modus von Windows
Scanne deinen gesamten Rechner mit allen Festplatten mit Ewido.

Lass das Programm alles entfernen, was es findet.
Speichere das Logfile.
Boote in den normalen Modus.

Poste das Logfile von Ewido.

[ebene23]

Hallo Ruby,
danke erstmal.
Hab alles so gemacht und hier das Logfile von Ewido:

Code:

---------------------------------------------------------
 ewido security suite - Scan Report
---------------------------------------------------------

 + Erstellt am:		15:24:36, 10.06.2005
 + Report-Checksumme:	81CEB391

 + Datum der Signaturen:	10.06.2005
 + Version der Scanengine:	v3.0

 + Suchdauer:					145 min
 + Untersuchte Dateien:				160150
 + Geschwindigkeit:				18.35 Dateien/Sekunden
 + Infizierte Dateien:				24
 + Entfernte Dateien:				12
 + Unter Quarantäne gestellte Dateien:		12
 + Dateien, die nicht geöffnet werden konnten:	0
 + Dateien, die nicht gesäubert werden konnten:	12

 + Binder:		Ja
 + Packer:		Ja
 + Archive:		Ja

 + Gescannt wurde:
	C:\
	C:\

 + Scanergebnis:
	C:\Dokumente und Einstellungen\SabineS\Lokale Einstellungen\Temp\asfjkk32.tmp -> Spyware.SafeSurfing -> Gesäubert mit Backup
	C:\Dokumente und Einstellungen\SabineS\Lokale Einstellungen\Temp\Cookies\sabines@search.msn[1].txt -> Spyware.Tracking-Cookie -> Gesäubert mit Backup
	C:\Dokumente und Einstellungen\SabineS\Lokale Einstellungen\Temp\ssvchst.exe -> TrojanDownloader.Small.apf -> Gesäubert mit Backup
	C:\Programme\AVPersonal\INFECTED\UNIC2_32.DLL.VIR -> TrojanDownloader.Small.aph -> Gesäubert mit Backup
	C:\WINDOWS\csrss.dll -> TrojanDownloader.Small.arz -> Gesäubert mit Backup
	C:\WINDOWS\smssa.dll -> TrojanDownloader.Small.arz -> Gesäubert mit Backup
	C:\WINDOWS\system32\nso2.dll -> Spyware.HotBar -> Gesäubert mit Backup
	C:\WINDOWS\system32\nsvED.dll -> Spyware.Beginto.c -> Gesäubert mit Backup
	C:\WINDOWS\system32\regsync.exe -> Spyware.SafeSurfing -> Gesäubert mit Backup
	C:\WINDOWS\taskmgr.dll -> TrojanDownloader.Small.arz -> Gesäubert mit Backup
	C:\WINDOWS\uvchost.dll -> TrojanDownloader.Small.arz -> Gesäubert mit Backup
	C:\WINDOWS\winlogon.dll -> TrojanDownloader.Small.arz -> Gesäubert mit Backup
	C:\Dokumente und Einstellungen\SabineS\Lokale Einstellungen\Temp\asfjkk32.tmp -> Spyware.SafeSurfing -> Fehler beim Säubern
	C:\Dokumente und Einstellungen\SabineS\Lokale Einstellungen\Temp\Cookies\sabines@search.msn[1].txt -> Spyware.Tracking-Cookie -> Fehler beim Säubern
	C:\Dokumente und Einstellungen\SabineS\Lokale Einstellungen\Temp\ssvchst.exe -> TrojanDownloader.Small.apf -> Fehler beim Säubern
	C:\Programme\AVPersonal\INFECTED\UNIC2_32.DLL.VIR -> TrojanDownloader.Small.aph -> Fehler beim Säubern
	C:\WINDOWS\csrss.dll -> TrojanDownloader.Small.arz -> Fehler beim Säubern
	C:\WINDOWS\smssa.dll -> TrojanDownloader.Small.arz -> Fehler beim Säubern
	C:\WINDOWS\system32\nso2.dll -> Spyware.HotBar -> Fehler beim Säubern
	C:\WINDOWS\system32\nsvED.dll -> Spyware.Beginto.c -> Fehler beim Säubern
	C:\WINDOWS\system32\regsync.exe -> Spyware.SafeSurfing -> Fehler beim Säubern
	C:\WINDOWS\taskmgr.dll -> TrojanDownloader.Small.arz -> Fehler beim Säubern
	C:\WINDOWS\uvchost.dll -> TrojanDownloader.Small.arz -> Fehler beim Säubern
	C:\WINDOWS\winlogon.dll -> TrojanDownloader.Small.arz -> Fehler beim Säubern


::Report Ende

[Ruby]

Hallo ebene23,

ein neues HJT-Logfile bitte.

[ebene23]

Hallo Ruby,

hab mir erstmal ein Viren- und Trojanerfreies
Wochenende gegönnt
Ist wohl ziemlich lästig, was ich mir da eingefangen habe...
Hier das neue HJT-Log:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 08:49:59, on 13.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\server\Apache2\bin\Apache.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ewido\security suite\ewidoguard.exe
C:\server\mysql\bin\mysqld-nt.exe
C:\Programme\Dantz\Retrospect\retrorun.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\server\Apache2\bin\Apache.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
C:\WINDOWS\MXOALDR.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Messenger\msmsgs.exe
C:\server\Apache2\bin\ApacheMonitor.exe
C:\server\mysql\bin\winmysqladmin.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: VBRunDLL Class - {197B8CA4-E215-46DD-8F33-E0544A80E5C4} - C:\WINDOWS\System32\vbrundll.dll
O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINDOWS\System32\nsr175.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SAMSUNG Keydefin] C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft Internet Acceleration Utility] iau.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [x3yy] C:\WINDOWS\System32\x3yy\iiqnhljb.exe
O4 - HKCU\..\Run: [Internet Connection Wizard] stisvsq.exe
O4 - HKCU\..\Run: [Games Acceleration] svshost.exe
O4 - HKCU\..\Run: [Internet Mail and News] msqdevl.exe
O4 - HKCU\..\Run: [Microsoft Management Console] lssas.exe
O4 - HKCU\..\Run: [Multimedia extensions] mservice.exe
O4 - HKCU\..\Run: [Microsoft Internet Acceleration Utility] iau.exe
O4 - Startup: mov06[1].exe
O4 - Startup: WinMySQLadmin.lnk = C:\server\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Monitor Apache Servers.lnk = C:\server\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1D168290-F3DF-4842-94C3-2862596771FB} (Yahoo! Fotos Easy Upload Tool Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/ydropper/ydropper1_3de.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/25eb7b94525c84f23820/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAD67144-CDC1-490C-914E-651C5429A704}: NameServer = 192.168.5.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5130A1B-8A17-42BD-BFBF-78205E6A8254}: NameServer = 192.168.5.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Apache2 - Unknown owner - C:\server\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: MySql - Unknown owner - C:/server/mysql/bin/mysqld-nt.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programme\Dantz\Retrospect\retrorun.exe

Montag morgen und die Woche nimmt kein Ende...
Gruß!

[Ruby]

Hallo Ebene23

Deaktiviere die Systemwiederherstellung

Scanne deinen Rechner mit einem Full-System-Scan mit Panda ActiveScan.
Der Scan kann ca 2-3 Stunden dauern. Speichere das Logfile.
Boote deinen Rechner danach neu auf.

-> Poste das Panda Online-Scan Logfile.

[ebene23]

Hi Ruby,
weiß echt nicht ob ich mich zu dumm anstelle,
aber der Panda-ActiveScan scannt nicht.
Es wird normal ausgeführt, aber bingt innerhalb von Sekunden das Ergebnis
"No viruses have been found!".
Scanned: System Yes - Files 0 - Messages 0...
Hab alle Möglichkeiten probiert (Laufwerk selber auswählen, "All System", etc.).

Die Systemwiederherstellung hab ich schon Freitag deaktiviert.

Gruß

[Ruby]

Hallo Ebene

1
Lade die Killbox runter.
Installiere das Programm auf deinem Desktop.

2
Killbox starten
Einstellungen:
Replace on Reboot
Nun in die killbox reinkopieren/browsen:

C:\WINDOWS\csrss.dll
C:\WINDOWS\smssa.dll
C:\WINDOWS\system32\nso2.dll
C:\WINDOWS\system32\nsvED.dll
C:\WINDOWS\system32\regsync.exe
C:\WINDOWS\taskmgr.dll
C:\WINDOWS\uvchost.dll
C:\WINDOWS\winlogon.dll

Für jede Datei zusätzlich die Option "Use Dummy" auswählen,
das rote X drücken
die erste Meldung (Confirmation) mit Ja und die Zweite
dann mit Ja bestätigen, wenn alle Dateien in der Killbox sind.

3
Den Rechner neu aufstarten.

4
Lade bitte diese Datei hoch

C:\WINDOWS\System32\vbrundll.dll
C:\WINDOWS\System32\nsr175.dll
C:\WINDOWS\System32\x3yy\iiqnhljb.exe

-> Upload malicious software

5
Führe einen mwavscan durch

1) Lege einen Ordner c:\bases an (Einführung in Windows)
2) Download der mwav.exe
3) Entpacke die Datei (mit einem Zip-Programm SIMPLYZIP) !!! Die Datei mwav.exe MUSS in diesen Ordner c:\bases entpackt werden. wenn der Pfad nicht genau so angegeben wird, funktioniert der scanner/updater nicht!
4) Doppelklick auf die Datei kavupd.exe, damit wird der update gestartet.
5) Wechsle in den abgesicherten Modus von Windows
6) Öffne den Explorer, navigiere zum Ordner c:\bases, starte mwavscan.com, schließe den Explorer.
7) Überprüfe die Einstellungen, unter scan option-->memory, startup folders, registry, system folders und services sowie drive (auswahl) und scan all files sollten aktiviert sein, dann den Button *SCAN/CLEAN* drücken. Angehakt werden soll alles, was auf dieser Abbildung zu sehen ist:

8) Wenn der Scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen Modus.
9) Nun öffnest du mit einem Editor die mwav.log und wählst unter bearbeiten -> suchen, hier gibst du "tagged as" ein

-> jede Zeile in der "tagged as" bzw. "infected" steht, markieren, und hier einfügen, weitersuchen usw.

(Beispiel: file C:\WINDOWS\sssasasb32.exe infected by "Trojan-Downloader.Win32.Agent.ig" Virus. Action: Action Taken)

Ganz unten steht die Zusammenfassung, diese auch hier posten :

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****

Poste das Ergebnis des Scan und ein neues HJT-Logfile.

[ebene23]

Hallo Ruby,
von den unter 2. genannten Dateien war keine auf dem Rechner.
Versteckte und Systemdateien sind eingeblendet gewesen. Auch geschützte System-Dateien sind eingeblendet.
Bei Punkt 4. habe ich zwei der Dateien hochgeladen. Die dritte ist nicht vorhanden
(C:\WINDOWS\System32\x3yy\iiqnhljb.exe).

Nun zum Scann:
Das ist herausgekommen:

Code:

Mon Jun 13 12:50:47 2005 => File C:\WINDOWS\System32\vbrundll.dll tagged as not-a-virus:AdWare.SafeSurfing.j. No Action Taken.

Mon Jun 13 12:50:47 2005 => File C:\WINDOWS\System32\nsr175.dll tagged as not-a-virus:AdWare.ToolBar.HotSearchBar.i. No Action Taken.

Mon Jun 13 12:51:03 2005 => File C:\WINDOWS\msras.exe tagged as not-a-virus:AdWare.ToolBar.HotSearchBar.g. No Action Taken.

Mon Jun 13 12:51:18 2005 => File C:\WINDOWS\System32\COMMCOS2.DLL tagged as not-a-virus:AdWare.SafeSurfing.j. No Action Taken.

Mon Jun 13 12:51:42 2005 => File C:\WINDOWS\System32\InstallerV3.exe tagged as not-a-virus:AdWare.SafeSurfing.j. No Action Taken.

Mon Jun 13 12:52:12 2005 => File C:\WINDOWS\System32\nsr175.dll tagged as not-a-virus:AdWare.ToolBar.HotSearchBar.i. No Action Taken.

Mon Jun 13 12:52:40 2005 => File C:\WINDOWS\System32\vbrundll.dll tagged as not-a-virus:AdWare.SafeSurfing.j. No Action Taken.

Mon Jun 13 12:52:40 2005 => File C:\WINDOWS\System32\VBUninstall.exe tagged as not-a-virus:AdWare.SafeSurfing.j. No Action Taken.

Mon Jun 13 12:56:55 2005 => File C:\Dokumente und Einstellungen\SabineS\Lokale Einstellungen\Temp\1.exe tagged as not-a-virus:AdWare.BetterInternet. No Action Taken.

Mon Jun 13 12:57:33 2005 => File C:\Dokumente und Einstellungen\SabineS\Lokale Einstellungen\Temp\thin_installerv3.exe tagged as not-a-virus:AdWare.BetterInternet. No Action Taken.

Mon Jun 13 12:57:34 2005 => File C:\Dokumente und Einstellungen\SabineS\Lokale Einstellungen\Temp\tool4_b2search.exe tagged as not-a-virus:AdWare.Beginto.c. No Action Taken.

Mon Jun 13 13:31:27 2005 => File C:\WINDOWS\msras.exe tagged as not-a-virus:AdWare.ToolBar.HotSearchBar.g. No Action Taken.

Mon Jun 13 13:32:42 2005 => File C:\WINDOWS\system32\COMMCOS2.DLL tagged as not-a-virus:AdWare.SafeSurfing.j. No Action Taken.

Mon Jun 13 13:37:36 2005 => File C:\WINDOWS\system32\InstallerV3.exe tagged as not-a-virus:AdWare.SafeSurfing.j. No Action Taken.

Mon Jun 13 13:38:06 2005 => File C:\WINDOWS\system32\nsr175.dll tagged as not-a-virus:AdWare.ToolBar.HotSearchBar.i. No Action Taken.

Mon Jun 13 13:38:47 2005 => File C:\WINDOWS\system32\vbrundll.dll tagged as not-a-virus:AdWare.SafeSurfing.j. No Action Taken.

Mon Jun 13 13:38:47 2005 => File C:\WINDOWS\system32\VBUninstall.exe tagged as not-a-virus:AdWare.SafeSurfing.j. No Action Taken.


Mon Jun 13 12:51:03 2005 => File C:\WINDOWS\msiau.dll infected by "Trojan-Proxy.Win32.Symbab.ac" Virus. Action Taken: File Deleted.

Mon Jun 13 13:10:56 2005 => File C:\RECYCLER\S-1-5-21-3546602255-394714582-11484494-500\Dc1.exe infected by "Trojan-Proxy.Win32.Symbab.ac" Virus. Action Taken: File Deleted.

Mon Jun 13 13:39:11 2005 => ***** Scanning complete. *****
 
Mon Jun 13 13:39:11 2005 => Total Number of Files Scanned: 58778
Mon Jun 13 13:39:11 2005 => Total Number of Virus(es) Found: 19
Mon Jun 13 13:39:11 2005 => Total Number of Disinfected Files: 0
Mon Jun 13 13:39:11 2005 => Total Number of Files Renamed: 0
Mon Jun 13 13:39:11 2005 => Total Number of Deleted Files: 2
Mon Jun 13 13:39:11 2005 => Total Number of Errors: 1
Mon Jun 13 13:39:11 2005 => Time Elapsed: 00:48:20
Mon Jun 13 13:39:11 2005 => Virus Database Date: 2005/06/13
Mon Jun 13 13:39:11 2005 => Virus Database Count: 134434
 
Mon Jun 13 13:39:11 2005 => Scan Completed.

So und hier noch das neue HJT-Log:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 14:35:31, on 13.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\server\Apache2\bin\Apache.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\server\mysql\bin\mysqld-nt.exe
C:\Programme\Dantz\Retrospect\retrorun.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\svchost.exe
C:\server\Apache2\bin\Apache.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
C:\WINDOWS\MXOALDR.EXE
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\server\Apache2\bin\ApacheMonitor.exe
C:\server\mysql\bin\winmysqladmin.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: VBRunDLL Class - {197B8CA4-E215-46DD-8F33-E0544A80E5C4} - C:\WINDOWS\System32\vbrundll.dll (file missing)
O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINDOWS\System32\nsr175.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SAMSUNG Keydefin] C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [x3yy] C:\WINDOWS\System32\x3yy\iiqnhljb.exe
O4 - HKCU\..\Run: [Internet Connection Wizard] stisvsq.exe
O4 - HKCU\..\Run: [Games Acceleration] svshost.exe
O4 - HKCU\..\Run: [Internet Mail and News] msqdevl.exe
O4 - HKCU\..\Run: [Microsoft Management Console] lssas.exe
O4 - HKCU\..\Run: [Multimedia extensions] mservice.exe
O4 - HKCU\..\Run: [Microsoft Internet Acceleration Utility] iau.exe
O4 - Startup: mov06[1].exe
O4 - Startup: WinMySQLadmin.lnk = C:\server\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Monitor Apache Servers.lnk = C:\server\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1D168290-F3DF-4842-94C3-2862596771FB} (Yahoo! Fotos Easy Upload Tool Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/ydropper/ydropper1_3de.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/25eb7b94525c84f23820/netzip/RdxIE601_de.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAD67144-CDC1-490C-914E-651C5429A704}: NameServer = 192.168.5.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5130A1B-8A17-42BD-BFBF-78205E6A8254}: NameServer = 192.168.5.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Apache2 - Unknown owner - C:\server\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: MySql - Unknown owner - C:/server/mysql/bin/mysqld-nt.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programme\Dantz\Retrospect\retrorun.exe

Ja dann erstmal wieder vielen Dank.
Gruß ebene23

[Ruby]

Antwort in Arbeit