Hallo alle zusammen,

ich habe seit einigen Tagen ein Problem mit dem trojanischen Pferd TR/Lefeat.DLL1. Immer wenn ich den IE starte kommt die Medlung, daß dieses entdeckt wurde. Auch installiert er einige Favoriten von allein und es kommen gehäuft PopUp-Fenster. Habe schon einige Sachen aus dem Netz probiert, doch bisher alles ohne Erfolg. Kann mir jemand weiter helfen? Besten Dank im Voraus...

HiJack erstellt folgendes log.file.

Logfile of HijackThis v1.99.0
Scan saved at 16:00:58, on 17.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\CTSVCCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\appje32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\eDonkey2000\eDonkey2000.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spyware Nuker 2004\swn2.exe
C:\WINDOWS\system32\d3mx.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Download\Anwendungen\Hijack This\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ard.de/
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {42B7CFF8-A757-D31D-1B76-9B9401F53679} - C:\WINDOWS\netem.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [eDonkey2000] C:\Programme\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Spyware Nuker] C:\Programme\Spyware Nuker 2004\swn2.exe /h
O4 - HKLM\..\Run: [d3mx.exe] C:\WINDOWS\system32\d3mx.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar3.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b30149.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... Client.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b30149.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.ne ... tector.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... -0-3-0.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... owdown.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSVCCDA.EXE
O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINDOWS\system32\appje32.exe

[/b]

sorry kann dir zwar nicht helfen aber ich würde mich mal beeilen bei pc war von diesem *lol* ding voll kaput ging garnicht mehr an deswegen musste ich formatieren. hab den trojaner und noch andere viren über MSN bekommen der verschickt sich von alleine also nichts anehmen was>>>>>>>FUNNY<<<<<<<<heißt das ist der VIRUS.

Hee, danke für den Tipp, wäre dennoch genial, wenn ich die Holzhammermethode umgehen könnte...

ich hab grad nikita, unserer Expertin, Bescheid gesagt, folge einfach ihren Anweisungen so genau wie möglich...

Hallo@Vonky

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/

kopiere rein:
C:\WINDOWS\system32\appje32.exe
C:\WINDOWS\netem.dll
C:\WINDOWS\system32\S3trayp.exe
C:\WINDOWS\system32\d3mx.exe

poste mir, was alles angegeben wird.

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann aktiviere sie wieder)

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {42B7CFF8-A757-D31D-1B76-9B9401F53679} - C:\WINDOWS\netem.dll
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [Spyware Nuker] C:\Programme\Spyware Nuker 2004\swn2.exe /h
O4 - HKLM\..\Run: [d3mx.exe] C:\WINDOWS\system32\d3mx.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINDOWS\system32\appje32.exe

PC neustarten

Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

kopiere rein.
Remote Procedure Call

Press 'OK'
warten, bis die Suche beendet ist. + o.k. klicken

kopiere rein:

%AF夶À¨ (alles kopieren, vergiss nicht den kleinen Querstrich)

Press 'OK'
warten, bis die Suche beendet ist. + o.k. klicken


KillBox
http://www.bleepingcomputer.com/files/killbox.php

<Delete File on Reboot--> anhaken

kopiere rein:
C:\WINDOWS\system32\appje32.exe
C:\WINDOWS\netem.dll
C:\WINDOWS\system32\d3mx.exe

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

PC neustarten

Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software"
<C:\Programme\Spyware Nuker 2004\swn2.exe
<MessengerPlus3 (ist Malware--> installiere das nie wieder)

C:\Documents and Settings\dein Username\Local Settings\Temp\tmp <---alle *temp-Datein loeschen, die du findest !!!!!!

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

#mache einen Komplettscann mit dem Antivirus (poste mir dann das Log vom Scann)
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

[*]Beim Start von e-scan sollten folgende Optionen aktiviert sein:


-->und "Scan " klicken.

Gehe wieder in den Normalmodus:

mache bitte folgendes:

View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->
oder:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein



jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten

die "infected" loeschst du dann manuell oder mit der Killbox.

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

+ poste das neue Log vom HijackThis

Hallo zusammen und schon jetzt besten Dank im Voraus...Dann wollen wir mal starten.


Service load: 0% 100%

File: appje32.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: PE-CRYPT.SQR, UPX

AntiVir TR/Agent.KT (0.36 seconds taken)
Avast No viruses found (1.52 seconds taken)
AVG Antivirus No viruses found (0.74 seconds taken)
BitDefender Backdoor.Small.DC (0.46 seconds taken)
ClamAV No viruses found (0.57 seconds taken)
Dr.Web BackDoor.Inpru (0.86 seconds taken)
F-Prot Antivirus No viruses found (0.09 seconds taken)
Fortinet No viruses found (0.38 seconds taken)
Kaspersky Anti-Virus Backdoor.Win32.Small.dc (1.02 seconds taken)
mks_vir W32 (probable variant) (0.22 seconds taken)
NOD32 Win32/Small.DC (0.46 seconds taken)
Norman Virus Control No viruses found (0.68 seconds taken)


Service load: 0% 100%

File: S3trayp.exe
Status: OK
Packers detected: None

AntiVir No viruses found (0.40 seconds taken)
Avast No viruses found (1.53 seconds taken)
AVG Antivirus No viruses found (0.75 seconds taken)
BitDefender No viruses found (0.47 seconds taken)
ClamAV No viruses found (0.60 seconds taken)
Dr.Web No viruses found (2.35 seconds taken)
F-Prot Antivirus No viruses found (0.18 seconds taken)
Fortinet No viruses found (0.80 seconds taken)
Kaspersky Anti-Virus No viruses found (1.76 seconds taken)
mks_vir No viruses found (0.25 seconds taken)
NOD32 No viruses found (0.48 seconds taken)
Norman Virus Control No viruses found (2.12 seconds taken)


Service load: 0% 100%

File: d3mx.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: PE-CRYPT.SQR, UPX

AntiVir TR/Dldr.Agent.bq1.B (0.43 seconds taken)
Avast No viruses found (1.54 seconds taken)
AVG Antivirus No viruses found (1.01 seconds taken)
BitDefender No viruses found (0.65 seconds taken)
ClamAV No viruses found (0.58 seconds taken)
Dr.Web Trojan.Feat.2 (0.85 seconds taken)
F-Prot Antivirus No viruses found (0.09 seconds taken)
Fortinet No viruses found (0.42 seconds taken)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.bq (1.25 seconds taken)
mks_vir W32 (probable variant) (0.58 seconds taken)
NOD32 Win32/TrojanDownloader.Agent.NBP (0.56 seconds taken)
Norman Virus Control No viruses found (1.24 seconds taken)


Die C:\WINDOWS\netem.dll konnte er nicht untersuchen.

nun arbeite alles weitere ab .....

Hallo nikita, also ich habe Deine Liste abgearbeitet. Aber leider ohne Erfolg. Sobald ich den IE starte kommt wieder die bekannte Meldung und die Pop-Ups lassen auch nicht lange auf sich warten. Hier noch die neuen Log-Files vom eScan und HiJackThis...

on Feb 21 18:58:00 2005 => ***** Checking for specific ITW Viruses *****
Mon Feb 21 18:58:00 2005 => Checking for Welchia Virus...
Mon Feb 21 18:58:00 2005 => Checking for LovGate Virus...
Mon Feb 21 18:58:00 2005 => Checking for CodeRed Virus...
Mon Feb 21 18:58:00 2005 => Checking for OpaServ Virus...
Mon Feb 21 18:58:00 2005 => Checking for Sobig.e Virus...
Mon Feb 21 18:58:00 2005 => Checking for Winupie Virus...
Mon Feb 21 18:58:00 2005 => Checking for Swen Virus...
Mon Feb 21 18:58:00 2005 => Checking for JS.Fortnight Virus...
Mon Feb 21 18:58:00 2005 => Checking for Novarg Virus...
Mon Feb 21 18:58:00 2005 => Checking for Pagabot Virus...
Mon Feb 21 18:58:00 2005 => Checking for Parite.b Virus...
Mon Feb 21 18:58:00 2005 => Checking for Parite.a Virus...

Mon Feb 21 18:58:00 2005 => ***** Scanning complete. *****

Mon Feb 21 18:58:00 2005 => Total Files Scanned: 54848
Mon Feb 21 18:58:00 2005 => Total Virus(es) Found: 37
Mon Feb 21 18:58:00 2005 => Total Disinfected Files: 0
Mon Feb 21 18:58:00 2005 => Total Files Renamed: 0
Mon Feb 21 18:58:00 2005 => Total Deleted Files: 0
Mon Feb 21 18:58:00 2005 => Total Errors: 249
Mon Feb 21 18:58:00 2005 => Time Elapsed: 02:25:14
Mon Feb 21 18:58:00 2005 => Virus Database Date: 2005/02/14
Mon Feb 21 18:58:00 2005 => Virus Database Count: 118236

Mon Feb 21 18:58:00 2005 => Scan Completed.

Mon Feb 21 18:58:52 2005 => Virus Database Date: 2005/02/14
Mon Feb 21 18:58:52 2005 => Virus Database Count: 118236
Mon Feb 21 18:58:56 2005 => AV Library Unloaded (3)...
Mon Feb 21 19:04:02 2005 => **********************************************************
Mon Feb 21 19:04:02 2005 => eScan AntiVirus Toolkit Utility.
Mon Feb 21 19:04:02 2005 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Mon Feb 21 19:04:02 2005 => **********************************************************
Mon Feb 21 19:04:02 2005 => Version 4.8.8 (C:\DOKUME~1\Sky\LOKALE~1\Temp\mwavscan.com)
Mon Feb 21 19:04:02 2005 => Log File: C:\DOKUME~1\Sky\LOKALE~1\Temp\MWAV.LOG
Mon Feb 21 19:04:02 2005 => Last Scan Date and Time: 21.02.2005 16:32:06
Mon Feb 21 19:04:08 2005 => Latest Date of files inside MWAV: 14 Feb 2005 06:35:53.
Mon Feb 21 19:04:11 2005 => AV Library Loaded...
Mon Feb 21 19:04:11 2005 => Scanning File C:\DOKUME~1\Sky\LOKALE~1\Temp\kavss.exe
Mon Feb 21 19:04:11 2005 => Scanning File C:\DOKUME~1\Sky\LOKALE~1\Temp\Getvlist.exe
Mon Feb 21 19:04:11 2005 => Scanning File C:\DOKUME~1\Sky\LOKALE~1\Temp\kavss.dll
Mon Feb 21 19:04:11 2005 => Scanning File C:\DOKUME~1\Sky\LOKALE~1\Temp\kavssdi.dll
Mon Feb 21 19:04:11 2005 => Scanning File C:\DOKUME~1\Sky\LOKALE~1\Temp\kavssi.dll
Mon Feb 21 19:04:11 2005 => Scanning File C:\DOKUME~1\Sky\LOKALE~1\Temp\kavvlg.dll
Mon Feb 21 19:04:12 2005 => Scanning File C:\DOKUME~1\Sky\LOKALE~1\Temp\msvlclnt.dll
Mon Feb 21 19:04:12 2005 => Scanning File C:\DOKUME~1\Sky\LOKALE~1\Temp\ipc.dll
Mon Feb 21 19:04:12 2005 => Scanning File C:\DOKUME~1\Sky\LOKALE~1\Temp\main.avi
Mon Feb 21 19:04:12 2005 => Scanning File C:\DOKUME~1\Sky\LOKALE~1\Temp\virus.avi
Mon Feb 21 19:04:12 2005 => Virus Database Date: 2005/02/14
Mon Feb 21 19:04:12 2005 => Virus Database Count: 118236



Logfile of HijackThis v1.99.0
Scan saved at 19:17:27, on 21.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\CTSVCCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ipom32.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\netvk.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\WINDOWS\System32\wuauclt.exe
E:\Download\Anwendungen\Hijack This\hijackthis_199\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: (no name) - {C0B31B07-0714-A112-C7D5-F802D4606785} - C:\WINDOWS\system32\mfcgs.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [appvg.exe] C:\WINDOWS\system32\appvg.exe
O4 - HKLM\..\Run: [netvk.exe] C:\WINDOWS\system32\netvk.exe
O4 - HKLM\..\RunOnce: [ipom32.exe] C:\WINDOWS\ipom32.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar3.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b30149.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... Client.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b30149.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.ne ... tector.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... -0-3-0.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... owdown.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSVCCDA.EXE
O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Network Security Service (NSS) - Unknown - C:\WINDOWS\system32\ntfc32.exe (file missing)


Weißt Du noch Rat???

Hallo@Vonky

du hast nichts von dem getan, was ich geschrieben hatte, weder den Dienst geloescht mit: Registry Search Tool , noch die infizierten Datein aus dem Scann mit escan rauskopiert.

Der PC ist wie vorher... ...von einem Backdoor gesteuert...der alle Daten von dir kennt, eingeschlossen passworte und anderes....

Formatiere neu, denn du wirst die Saeuberung nicht hinbekommen, es sei denn jemand versteht meine Anweisungen umzusetzen

Hi, also ich bin mir ziemlich sicher, daß ich alles genau so getan habe, wie Du es geschrieben hast. Ich werde Die Liste erneut durchegehen und sehen, was sich machen lässt...

eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) wird automatisch bei anklicken der exe ausgefuehrt

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann aktiviere sie wieder)

Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

kopiere rein.
Remote Procedure Call

Press 'OK'
warten, bis die Suche beendet ist. + o.k. klicken--> bitte posten !!!

kopiere rein:

%AF夶À¨ (alles kopieren, vergiss nicht den kleinen Querstrich)

Press 'OK'
warten, bis die Suche beendet ist. + o.k. klicken--> bitte posten !!!!

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O2 - BHO: (no name) - {C0B31B07-0714-A112-C7D5-F802D4606785} - C:\WINDOWS\system32\mfcgs.dll
O4 - HKLM\..\Run: [appvg.exe] C:\WINDOWS\system32\appvg.exe
O4 - HKLM\..\Run: [netvk.exe] C:\WINDOWS\system32\netvk.exe
O4 - HKLM\..\RunOnce: [ipom32.exe] C:\WINDOWS\ipom32.exe
O23 - Service: Network Security Service (NSS) - Unknown - C:\WINDOWS\system32\ntfc32.exe (file missing)

PC neustarten
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

Loeschen:
<C:\WINDOWS\system32\mfcgs.dll
<C:\WINDOWS\system32\appvg.exe
<C:\WINDOWS\ipom32.exe
<C:\WINDOWS\system32\ntfc32.exe

C:\Documents and Settings\dein Username\Local Settings\Temp\tmp <---alle *temp-Datein loeschen, die du findest !!!!!!

ZUM BEISPIEL:

C:\Documents and Settings\\Local Settings\Temp\2.tmp.exe
C:\Documents and Settings\\Local Settings\Temp\2.tmp
C:\Documents and Settings\\Local Settings\Temp\1.tmp
C:\Documents and Settings\\Local Settings\Temp\2DB.tmp

#mache einen Komplettscann mit dem Antivirus (poste mir dann das Log vom Scann)

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

Gehe wieder in den Normalmodus:

mache bitte folgendes:

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.

Hallo nikita, und besten Dank erneut, daß Du Dich meines Problems (erneut) annimmst.
Also ich habe nun alles neu heruntergeladen, wie Du es geschrieben hast.

-> Ich habe eScan installiert und das Update in DOS durchgeführt.
-> Ich habe die Wiederherstellung deaktiviert und kurz darauf wieder aktiviert
-> Ich habe in den regsrch "Remoute Procedure Call" hinein kopiert und er hat mir folgendes ausgegeben:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "Remote Procedure Call" 22.02.2005 14:03:03

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000]
"DeviceDesc"="Remote Procedure Call (RPC) Helper"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000]
"DeviceDesc"="Remote Procedure Call (RPC) Helper"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000]
"DeviceDesc"="Remote Procedure Call (RPC) Helper"

->Ich habe in den regsrch "%AFå ¤À¨ " hinein kopiert und er hat mir geschrieben: No instances of %AFå ¤À¨ found.

Ich warte nun auf eine Nachricht von Dir, bevor ich den Vorgang mit HijackThis weiter fortsetze.

Noch zwei Fragen:
Ich finde bei dem Ergebnis des eScan nur eine mwav.log. Das sollte doch das Gleiche sein wie die mwav.txt, oder?
Wenn ich wieder im Normalmodus bin, nach dem Scannen mit Antivirus und eScan, soll ich dann die Dateien mit KillBox löschen oder erst später. Sobald ich den IE öffne, kommt ja diese TrojanischePferd Meldung, installiert sich der Kram da nicht wieder und macht die Arbeit von zuvor Zunichte? Oder soll ich trotzdem ins Netz gehen und es Dir vorher posten?

Nochmal vielen Dank...
[/b]

ich hab auch so ein problem wird dan der pc langsamer?

Vonky

Dienste anzeigen:
License: Freeware/Getservices
Note: You must run this program as a user with Administrator privaleges.
->klicke auf "getservice.bat und poste, was im Editor erscheint.
http://www.bleepingcomputer.com/files/getservices.php

und arbeite inzwischen schon mit dem HijackThis und escan
dann kopiere alle infected-Datein hier ins Forum (kein Problem)

dann loesche sie mit der Killbox und suche /loesche die temp.-Datein, denn von dort alimentiert sich der Virus)

und den Dienst, den er erstellt hat, bekommen wir auch noch geloescht ...poste mir das Log vom Getservices

Alles der Reihe nach...wir bekommen es schon sauber, auch wenn es alles ein bisschen konfus erscheint )

Hi, also nachdem ich das Programm geladen und gestartet habe kommt folgenden Anzeige:


PsService v1.1 - local and remote services viewer/controller
Copyright (C) 2001-2003 Mark Russinovich
Sysinternals - www.sysinternals.com


SERVICE_NAME: