Hallo!

Habe mir - wie auch immer die Trojaner qhost.qr und Click.526 eingefangen. AntiVir meldet diese, aber anscheinend kann er sie nicht komplett löschen, denn sie tauchen immer wieder auf. Ichhabe mich jettz durch einige Foren gewühlt, aber eine Lösunhg noch nicht gefunden. Es glauber verstanden zu haben, dass sich die "Dinger" irgendwie ins Autostart gesetzt haben und habe mal diese HijackThis laufen lassen. Aber ich traue mich nciht weiter, weiß nciht welche Einträge ich entfernen muss/sollte/darf und welche nicht. Ich habe auch ständig so ein Pop-Up Fenster aus der Autostartleite heraus mit dem Hinweis "Your Computer might be risk....", könnt eebenfalls ein Torjaner sein, weiß ich aber nicht. Hilfe! Ich hab das System Xp neu intstallieren müssen/wollen und scheine mir die Dinger irgendwie zwischen der Intallation von SP 2 und Aktualisierung von XP und laden der neusetesn SIcherheitspatches von Microsoft eingefangen zu haben.

Jedenfalls ich hier mal meine Log-Datei von Hijackthis, vielleicht kann mir ja wer helfen - bitte!!!!

Logfile of HijackThis v1.99.0
Scan saved at 22:54:49, on 02.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\PROMon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\WINDOWS\System32\ni_nic.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Trojancheck 6\tcguard.exe
D:\download xp\aktuell 0805\hijackthis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R3 - URLSearchHook: (no name) - {28E73033-2984-654F-3EDA-672D705BDDD4} - SetupExeDll.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avpmondll] NsCplTray.exe
O4 - HKLM\..\Run: [driver32] ssweeper.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [iesetupdll] utsgmon.exe
O4 - HKCU\..\Run: [Uint32] bhoserv.exe
O4 - HKCU\..\Run: [porka_] systemdll.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 4732587468
O17 - HKLM\System\CCS\Services\Tcpip\..\{35EB7AFD-2B12-46DA-B1D1-30445162CC01}: NameServer = 69.50.161.132,85.255.112.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F9B42E4-0F2D-455D-A5FA-1F6EC9856551}: NameServer = 69.50.161.132,85.255.112.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1B00C4A-51AD-4FB8-A467-6ECB630625F5}: NameServer = 69.50.161.132,85.255.112.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{CCC29E79-9A83-4D04-BC01-425223F17199}: NameServer = 69.50.161.132,85.255.112.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4E821B0-E5F6-4DB8-A83A-DC66334BEEDE}: NameServer = 69.50.161.132,85.255.112.15
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Intel Client Instrumentation for DMI - Intel® Corporation - C:\WINDOWS\System32\ni_nic.exe
O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINDOWS\system32\NMSSvc.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

eine feine Ansammlung von Backdoors.....aber du findest gewiss leicht Hilfe:
http://www.informationsarchiv.net/foren ... 25626.html

Ok,

1.
Downloade den Remover (angehängt)entpacke und speichere ihn auf deinem Desktop
2.
Downloade (wenn nicht schon passiert) die neueste Hijackthis Version und entpacke sie in ihren eigene Ordner
3.
Starte im abgesicherten Modus neu, starte dort keine anderen Programme, kein Internet Explorer oder ähnliches
4.
Starte den wareout_remover.exe, drücke install, warte (explorer fenster verschwindet kurz)
5.
starte direkt neu und erneut in den abgesicherten Modus
6.
Fixe den Zufallsschlüssel in der Registry mit Hijackthis (sieht in etwa so aus: O4 - HKLM\..\Run: [veezye] c:\windows\system32\mcnmtya.exe). Notiere den Zufallsnamen (im Beispiel mcnmtya.exe) und lösche die Datei in deinem System32 Ordner. Fixe auch die eventuell noch vorhanden BHO Einträge.
7.
Setze die DNS Server Einstellungen zurück, ambesten mit Hijackthis und setze anschliessend deine urspünglichen IP Adressen (bei Problemen VORHER deinen Supporter fragen)

http://forum.hijackthis.de/attachment.p ... mentid=427

=================================

http://bilder.informationsarchiv.net/Ni ... /FindT.zip

in C:\ entpacken -- öffne "FindT" folder -- klicke batch file (runthis.bat) -- poste die txt (Textdatei)

=================================

(quelle: http://nikita.eddys-domain.de/Artikel/s ... reOut.html )