Trojaner

20.04.2005, 20:06

Hi,

habe ein Problem mit einem Trojaner der wie folgt heißt;

Trojaner Downloader.Agent.11.N

wer kann mir da weiterhelfen....?

AVG lindet und löscht Ihn, aber er taucht immer wieder auf....
habe keinen Rat mehr...

mfg D-Ray

20.04.2005, 20:08

Hallöchen,

wahrscheinlich versteckt sich auch im Autostart noch eine Datei die immer wieder dafür sogt das der Trojaner wieder neu isntalliert wird. Am besten scannst du deinen Rechner mal mit dem Tool HijackThis und kopierst das Logfile das dabei erstellt wird hier ins Forum. Wir schauen uns das dann mal an und erklären dir welche Einträge du wie reparieren mußt...

https://216.180.233.162/~merijn/downloads.html

20.04.2005, 20:26

Dies ist der Report:

Logfile of HijackThis v1.99.1
Scan saved at 21:20:07, on 20.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
E:\software\winxp\antivir\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
E:\software\winxp\maus\iTouch\iTouch.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
E:\software\winxp\antivir\AVSched32.EXE
E:\software\winxp\maus\MouseWare\system\em_exec.ex e
C:\Programme\Creative\Shared Files\CAMTRAY.EXE
C:\WINDOWS\System32\tvkw\ruiiyu.exe
C:\WINDOWS\System32\kbvdyu\gclmyu.exe
C:\WINDOWS\System32\besuc\thgxe.exe
C:\WINDOWS\System32\ydqee\dunud.exe
C:\WINDOWS\System32\pujph\vhscrw.exe
C:\WINDOWS\System32\ahto\oopv.exe
C:\WINDOWS\System32\odjinclj\amnf.exe
C:\WINDOWS\System32\yuuj\gyfesxvl.exe
C:\WINDOWS\System32\rkee\odoqc.exe
C:\WINDOWS\System32\pelwutj\wwcddofw.exe
C:\WINDOWS\System32\xsrfrqgc\awwn.exe
C:\WINDOWS\System32\qxboydom\cmtfpw.exe
C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
C:\WINDOWS\System32\gfwwv\tnbqqq.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\WINDOWS\System32\yaikm\aayxbkb.exe
C:\WINDOWS\System32\ssnwucp\rrpvvm.exe
C:\WINDOWS\System32\gsaxv\jnjxhe.exe
C:\WINDOWS\System32\hpuvh\scbqfnr.exe
C:\WINDOWS\System32\jnqklvep\depi.exe
C:\Programme\Yahoo!\Messenger\ypager.exe
E:\software\winxp\maus\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Dokumente und Einstellungen\rocco\Anwendungsdaten\whto.exe
C:\WINDOWS\System32\w?crtupd.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Programme\Windows Media Player\wmplayer.exe
E:\software\winxp\mozolla\mozilla.exe
E:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = https://www.isearch.com/?app=SE ... To5&Terms=
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = https://www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.isearch.com/?app=SE ... To5&Terms=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.isearch.com/?app=SE ... To5&Terms=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.hotsearchbar.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://www.isearch.com/?app=SE ... To5&Terms=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://www.isearch.com/?app=SE ... To5&Terms=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\cfgmgr51.dll
O2 - BHO: ohb - {285B5CCD-C3F0-4EB6-9632-7D0A3C3AF824} - C:\WINDOWS\System32\hsrb.dll (file missing)
O2 - BHO: (no name) - {8451511D-E3D1-E82B-FE7C-CCC9DEC06F94} - C:\WINDOWS\System32\wbmdm.dll (file missing)
O2 - BHO: (no name) - {BC2E384C-95BD-8A1C-D34C-FCE4EEF042A5} - C:\WINDOWS\System32\wbmdm.dll (file missing)
O2 - BHO: (no name) - {DA9E6B93-CA6E-DA96-0A01-F88408AF76AD} - C:\WINDOWS\System32\vct.dll
O2 - BHO: (no name) - {EFB35B93-E75D-EFA2-2731-C8A9389F5B9D} - C:\WINDOWS\System32\vct.dll
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\PROGRA~1\YOURSI~1\ys2.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] E:\software\winxp\maus\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [AVSCHED32] E:\software\winxp\antivir\AVSched32.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [PaciSoft] C:\WINDOWS\System32\pacis.exe
O4 - HKLM\..\Run: [tlpfsy] c:\windows\system32\tlpfsy.exe
O4 - HKLM\..\Run: [Uninstall_TBPS] C:\WINDOWS\Temp\TBuninst.exe /remove
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [iguifmxh] C:\WINDOWS\System32\cubo\iguifmxh.exe
O4 - HKLM\..\Run: [nuivm] C:\WINDOWS\System32\gumgbjy\nuivm.exe
O4 - HKLM\..\Run: [572S38g] ntbudite.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitewvj32.exe
O4 - HKLM\..\Run: [thgxe] C:\WINDOWS\System32\besuc\thgxe.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [dunud] C:\WINDOWS\System32\ydqee\dunud.exe
O4 - HKLM\..\Run: [vhscrw] C:\WINDOWS\System32\pujph\vhscrw.exe
O4 - HKLM\..\Run: [sixtysix] C:\WINDOWS\sixtypopsix.exe
O4 - HKLM\..\Run: [oopv] C:\WINDOWS\System32\ahto\oopv.exe
O4 - HKLM\..\Run: [amnf] C:\WINDOWS\System32\odjinclj\amnf.exe
O4 - HKLM\..\Run: [gyfesxvl] C:\WINDOWS\System32\yuuj\gyfesxvl.exe
O4 - HKLM\..\Run: [odoqc] C:\WINDOWS\System32\rkee\odoqc.exe
O4 - HKLM\..\Run: [wwcddofw] C:\WINDOWS\System32\pelwutj\wwcddofw.exe
O4 - HKLM\..\Run: [awwn] C:\WINDOWS\System32\xsrfrqgc\awwn.exe
O4 - HKLM\..\Run: [cmtfpw] C:\WINDOWS\System32\qxboydom\cmtfpw.exe
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [cfgmgr51] RunDLL32.EXE C:\WINDOWS\cfgmgr51.dll,DllRun
O4 - HKLM\..\Run: [tnbqqq] C:\WINDOWS\System32\gfwwv\tnbqqq.exe
O4 - HKLM\..\Run: [kgnloy] C:\WINDOWS\System32\tjxf\kgnloy.exe
O4 - HKLM\..\Run: [Tsl2] C:\PROGRA~1\COMMON~1\tsa\tsl2.exe
O4 - HKLM\..\Run: [aayxbkb] C:\WINDOWS\System32\yaikm\aayxbkb.exe
O4 - HKLM\..\Run: [rrpvvm] C:\WINDOWS\System32\ssnwucp\rrpvvm.exe
O4 - HKLM\..\Run: [jnjxhe] C:\WINDOWS\System32\gsaxv\jnjxhe.exe
O4 - HKLM\..\Run: [scbqfnr] C:\WINDOWS\System32\hpuvh\scbqfnr.exe
O4 - HKLM\..\Run: [depi] C:\WINDOWS\System32\jnqklvep\depi.exe
O4 - HKLM\..\Run: [gclmyu] C:\WINDOWS\System32\kbvdyu\gclmyu.exe
O4 - HKLM\..\Run: [ruiiyu] C:\WINDOWS\System32\tvkw\ruiiyu.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [LDM] E:\software\winxp\maus\\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Paeb] C:\Dokumente und Einstellungen\rocco\Anwendungsdaten\whto.exe
O4 - HKCU\..\Run: [Xxba] C:\WINDOWS\System32\w?crtupd.exe
O4 - HKCU\..\Run: [Kwt2RUMmi] shesynth.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = E:\software\winxp\office\Office\OSA9.EXE
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O4 - Global Startup: Picture Package Menu.lnk = ?
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O14 - IERESET.INF: START_PAGE_URL=https://www.versatel.de/internet-cd/
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - https://www.ysbweb.com/ist/softwares/v4. ... egular.cab
O16 - DPF: {C0B285F6-DB2B-4908-9C58-F6D95397D747} - https://www.pacimedia.com/install/pcs_0004.exe
O16 - DPF: {DE910060-8EFB-44B9-B492-75180696643F} (iiittt Class) - https://www.hotsearchbar.com/toolbar30/hsrb.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - https://cabs.media-motor.net/cabs/diamond.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7BEC7C81-92DD-4CE0-A99F-4096E72EFF6F}: NameServer = 62.72.64.241 62.72.64.237
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\software\winxp\antivir\AVGUARD.EXE
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\software\winxp\antivir\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

Bedenkt Bitte das ich nicht so der Experte in Sachen PC bin,was ichdann weiter machen soll...

mfg und Danke im vorraus

D-Ray

20.04.2005, 21:19

füge die logdatei hier ein:
https://www.hijackthis.de/en
danach alle sachen, die die auswertung meldet fixen

20.04.2005, 22:13

habe versucht die Sachen zu löschen....
die lassen sich aber nicht löschen...es erscheint die Anzeige Datein voll oder Schreibgeschützt...Schreibgeschützt ist aber nicht angeklickt unter Eigenschaften der Datein...

was nun....?1?

mfg D-Ray

21.04.2005, 08:50

Hi Zusammen,

also der normale Weg ist ja bei HijackThis die entsprechenden Dateien anzuklicken (also in dem Report wo du gepostet hast)und links unten auf fixed (oder so ähnlich) zu klicken. Normal müsste er dann die Dateien löschen.

Wenn das nicht geht würde ich mir die Pfade der Dateien aufschreiben und im abgesicherten Modus versuchen die Dateien zu löschen...

23.04.2005, 11:22

Hallöchen Ihr,

habe alles so gemacht wie ihr gesagt habt und der Hijack This Logfile ist denke auch soweit wieder in Ordnung, aber der Trojaner taucht immer noch auf

.

Hier nochmal der neue Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 12:19:28, on 23.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
E:\software\winxp\antivir\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
E:\software\winxp\maus\iTouch\iTouch.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
E:\software\winxp\maus\MouseWare\system\em_exec.ex e
E:\software\winxp\antivir\AVSched32.EXE
C:\Programme\Creative\Shared Files\CAMTRAY.EXE
C:\WINDOWS\System32\pcfhaf\utvxr.exe
C:\WINDOWS\System32\ydqee\dunud.exe
C:\WINDOWS\System32\rftnoq\lmpwl.exe
C:\WINDOWS\System32\pujph\vhscrw.exe
C:\WINDOWS\System32\ahto\oopv.exe
C:\WINDOWS\System32\odjinclj\amnf.exe
C:\WINDOWS\System32\yuuj\gyfesxvl.exe
C:\WINDOWS\System32\rkee\odoqc.exe
C:\WINDOWS\System32\pelwutj\wwcddofw.exe
C:\WINDOWS\System32\xsrfrqgc\awwn.exe
C:\WINDOWS\System32\qxboydom\cmtfpw.exe
C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\WINDOWS\System32\gfwwv\tnbqqq.exe
C:\WINDOWS\System32\yaikm\aayxbkb.exe
C:\WINDOWS\System32\ssnwucp\rrpvvm.exe
C:\WINDOWS\System32\gsaxv\jnjxhe.exe
C:\WINDOWS\System32\hpuvh\scbqfnr.exe
C:\WINDOWS\System32\jnqklvep\depi.exe
C:\WINDOWS\System32\kbvdyu\gclmyu.exe
C:\WINDOWS\System32\tvkw\ruiiyu.exe
C:\Programme\Yahoo!\Messenger\ypager.exe
C:\Dokumente und Einstellungen\rocco\Anwendungsdaten\whto.exe
C:\WINDOWS\System32\w?crtupd.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
E:\software\winxp\antivir\AVWIN.EXE
E:\software\winxp\winamp\Winamp.exe
E:\software\winxp\mozolla\mozilla.exe
E:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = https://www.isearch.com/?app=SE ... To5&Terms=
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = https://www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.isearch.com/?app=SE ... To5&Terms=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.isearch.com/?app=SE ... To5&Terms=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.hotsearchbar.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://www.isearch.com/?app=SE ... To5&Terms=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://www.isearch.com/?app=SE ... To5&Terms=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {DA9E6B93-CA6E-DA96-0A01-F88408AF76AD} - C:\WINDOWS\System32\vct.dll
O2 - BHO: (no name) - {EFB35B93-E75D-EFA2-2731-C8A9389F5B9D} - C:\WINDOWS\System32\vct.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] E:\software\winxp\maus\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [AVSCHED32] E:\software\winxp\antivir\AVSched32.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [PaciSoft] C:\WINDOWS\System32\pacis.exe
O4 - HKLM\..\Run: [tlpfsy] c:\windows\system32\tlpfsy.exe
O4 - HKLM\..\Run: [Uninstall_TBPS] C:\WINDOWS\Temp\TBuninst.exe /remove
O4 - HKLM\..\Run: [iguifmxh] C:\WINDOWS\System32\cubo\iguifmxh.exe
O4 - HKLM\..\Run: [nuivm] C:\WINDOWS\System32\gumgbjy\nuivm.exe
O4 - HKLM\..\Run: [572S38g] ntbudite.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitewvj32.exe
O4 - HKLM\..\Run: [thgxe] C:\WINDOWS\System32\besuc\thgxe.exe
O4 - HKLM\..\Run: [dunud] C:\WINDOWS\System32\ydqee\dunud.exe
O4 - HKLM\..\Run: [vhscrw] C:\WINDOWS\System32\pujph\vhscrw.exe
O4 - HKLM\..\Run: [sixtysix] C:\WINDOWS\sixtypopsix.exe
O4 - HKLM\..\Run: [oopv] C:\WINDOWS\System32\ahto\oopv.exe
O4 - HKLM\..\Run: [amnf] C:\WINDOWS\System32\odjinclj\amnf.exe
O4 - HKLM\..\Run: [gyfesxvl] C:\WINDOWS\System32\yuuj\gyfesxvl.exe
O4 - HKLM\..\Run: [odoqc] C:\WINDOWS\System32\rkee\odoqc.exe
O4 - HKLM\..\Run: [wwcddofw] C:\WINDOWS\System32\pelwutj\wwcddofw.exe
O4 - HKLM\..\Run: [awwn] C:\WINDOWS\System32\xsrfrqgc\awwn.exe
O4 - HKLM\..\Run: [cmtfpw] C:\WINDOWS\System32\qxboydom\cmtfpw.exe
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [cfgmgr51] RunDLL32.EXE C:\WINDOWS\cfgmgr51.dll,DllRun
O4 - HKLM\..\Run: [tnbqqq] C:\WINDOWS\System32\gfwwv\tnbqqq.exe
O4 - HKLM\..\Run: [kgnloy] C:\WINDOWS\System32\tjxf\kgnloy.exe
O4 - HKLM\..\Run: [Tsl2] C:\PROGRA~1\COMMON~1\tsa\tsl2.exe
O4 - HKLM\..\Run: [aayxbkb] C:\WINDOWS\System32\yaikm\aayxbkb.exe
O4 - HKLM\..\Run: [rrpvvm] C:\WINDOWS\System32\ssnwucp\rrpvvm.exe
O4 - HKLM\..\Run: [jnjxhe] C:\WINDOWS\System32\gsaxv\jnjxhe.exe
O4 - HKLM\..\Run: [scbqfnr] C:\WINDOWS\System32\hpuvh\scbqfnr.exe
O4 - HKLM\..\Run: [depi] C:\WINDOWS\System32\jnqklvep\depi.exe
O4 - HKLM\..\Run: [gclmyu] C:\WINDOWS\System32\kbvdyu\gclmyu.exe
O4 - HKLM\..\Run: [ruiiyu] C:\WINDOWS\System32\tvkw\ruiiyu.exe
O4 - HKLM\..\Run: [utvxr] C:\WINDOWS\System32\pcfhaf\utvxr.exe
O4 - HKLM\..\Run: [lmpwl] C:\WINDOWS\System32\rftnoq\lmpwl.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Paeb] C:\Dokumente und Einstellungen\rocco\Anwendungsdaten\whto.exe
O4 - HKCU\..\Run: [Xxba] C:\WINDOWS\System32\w?crtupd.exe
O4 - HKCU\..\Run: [Kwt2RUMmi] shesynth.exe
O4 - HKCU\..\Run: [LDM] E:\software\winxp\maus\\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = E:\software\winxp\office\Office\OSA9.EXE
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O4 - Global Startup: Picture Package Menu.lnk = ?
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O14 - IERESET.INF: START_PAGE_URL=https://www.versatel.de/internet-cd/
O15 - Trusted Zone: *.media-motor.net
O16 - DPF: {DE910060-8EFB-44B9-B492-75180696643F} (iiittt Class) - https://www.hotsearchbar.com/toolbar30/hsrb.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - https://cabs.media-motor.net/cabs/diamond.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7BEC7C81-92DD-4CE0-A99F-4096E72EFF6F}: NameServer = 62.72.64.241 62.72.64.237
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\software\winxp\antivir\AVGUARD.EXE
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\software\winxp\antivir\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

Vielleicht habe ich ja was übersehn.....

Gruz...D-Ray

23.04.2005, 13:28

Hallöchen,

jo das ist glaube ich der PC, der am meisten verseucht ist, den ich je gesehen habe. Da hat eine Reparatur keinerlei Sinn. Sichere deine wichtigen Dokumente und dann richte den PC komplett neu ein. Also Festplatten formatieren und Windows neu installieren. Dann vor dem ersten online gehen Service Pack 2 installieren, Firewall und aktuelles Antivirenprogramm installieren...

13.06.2005, 16:30

Kennst du diese :

C:\WINDOWS\System32\pcfhaf\utvxr.exe
C:\WINDOWS\System32\ydqee\dunud.exe
C:\WINDOWS\System32\rftnoq\lmpwl.exe
C:\WINDOWS\System32\pujph\vhscrw.exe
C:\WINDOWS\System32\ahto\oopv.exe
C:\WINDOWS\System32\odjinclj\amnf.exe
C:\WINDOWS\System32\yuuj\gyfesxvl.exe
C:\WINDOWS\System32\rkee\odoqc.exe
C:\WINDOWS\System32\pelwutj\wwcddofw.exe
C:\WINDOWS\System32\xsrfrqgc\awwn.exe
C:\WINDOWS\System32\qxboydom\cmtfpw.exe
C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\WINDOWS\System32\gfwwv\tnbqqq.exe
C:\WINDOWS\System32\yaikm\aayxbkb.exe
C:\WINDOWS\System32\ssnwucp\rrpvvm.exe
C:\WINDOWS\System32\gsaxv\jnjxhe.exe
C:\WINDOWS\System32\hpuvh\scbqfnr.exe
C:\WINDOWS\System32\jnqklvep\depi.exe
C:\WINDOWS\System32\kbvdyu\gclmyu.exe
C:\WINDOWS\System32\tvkw\ruiiyu.exe
C:\Dokumente und Einstellungen\rocco\Anwendungsdaten\whto.exe
C:\WINDOWS\System32\w?crtupd.exe
Wenn du das nicht kennst dan solltest du es fixen.

Und das müsst du fixen :

O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - https://cabs.media-motor.net/cabs/diamond.cab

Und das kann eventuell böse sein,wenn du das nicht kennst dan solltest du das unbedingt fixen :

O14 - IERESET.INF: START_PAGE_URL=https://www.versatel.de/internet-cd/
O15 - Trusted Zone: *.media-motor.net
O16 - DPF: {DE910060-8EFB-44B9-B492-75180696643F} (iiittt Class) - https://www.hotsearchbar.com/toolbar30/hsrb.cab

Trojaner

Trojaner

Trojaner

Ähnliche Themen

Trojaner???

Trojaner

Trojaner

Trojaner

Trojaner

Benutzer, die dieses Thema gelesen haben: 0