Sowas blödes. War auf dieser Seite hier:

http://www.water-cult.de


(eigentlich eine private Homepage, die über Nacht wohl jemand gehackt hat:((
Nun sieht mein Taskamanager so aus:
http://home.arcor.de/gemfiret/Taskmanager.jpg

Außerdem kommen ständig Fenster die fragen ob ich die Internverbindung wechseln will.
Die Startseite wird SOFORT immer wieder auf:
h*tp://213. 159. 117. 134/index.php

geändert. Da kann man machen was man will!

Ich hab Ad-Aware, Spybot, NAV2003, CWS-Shredder etc. alles laufen lassen. Die haben auch ein paar Sachen gefunden und entfernt.
Aber die Probleme bestehen weiterhin!
Hier mal ein Screenshot aller Prozesse:
http://home.arcor.de/gemfiret/Prozesse.jpg

Sieht für mich eigentlich normal aus!

Was kann ich noch tun?
Hab echt keinen Plan, was man noch machen könnte :(

Danke!

GemFire

Wegen Taskmanager: Doppelklick auf den Rand müsste helfen.

Alles weitere sollen andere beantworten ;)

Doppelklick in den Rahmen.

LOL! Ich Dussel:)
Bei dem ganzen Schreck ist mir das nicht eingefallen:)
Danke Euch!

Zumindest eine Sache gelöst! Aber das andere ist durchaus das größere Problem!
Vor allem weil die ganzen Programme ja nichts finden, bzw. mal ein paar Sachen, diese "entfernen" aber in Wirklichkeit bleibt doch was übrig!

Ich hab mal einen Screenshot alles laufenden Programme gemacht. Sieht für mich eigentlich normal aus!

http://home.arcor.de/gemfiret/Prozesse.jpg

GemFire

Damn WTF, mach den zweiten link weg, sobald ich darauf geklickt ab lief mein Virenscanner wegen nem Trojaner amok. Mach blosss den Link weg ich bin froh wenn ich mir nichts eingefangen hab.............

Nutze mal Antivir,A² und Spybot search and destroy, die 3 solten das meisten entfernen können.

Ich hab Ad-Aware, Spybot, NAV2003, CWS-Shredder etc. alles laufen lassen. Die haben auch ein paar Sachen gefunden und entfernt.
Aber die Probleme bestehen weiterhin!
Hier mal ein Screenshot aller Prozesse:

Du hast nen üblen Trojaner, spybot alleine hilft da wenig.







MFG

mmm...

Bei mir produziert die Seite erstmal keine Probleme, mal schauen, wie es nachher aussieht.

Ein Log von HijackThis würde mehr helfen, ausserdem kann man dass dann einfach bearbeiten, auf Screenshots kann man immer nur so wenig machen ...

mmm...

Bei mir produziert die Seite erstmal keine Probleme, mal schauen, wie es nachher aussieht.

Ein Log von HijackThis würde mehr helfen, ausserdem kann man dass dann einfach bearbeiten, auf Screenshots kann man immer nur so wenig machen ...

Ups ich meinte den dritten Link, sobald ich darauf klicke versucht die Seite nen Download zu starten unsd AntiVir schlägt Alarm.

Das sagt AntiVir dazu:
C:\DOKUME~1\iam.cool\LOKALE~1\TEMP\CUT2A764.EXE

Ist das Trojanische Pferd TR/Drop.Delf.DJ.3

mmm...

Welchen Browser benutzt du? zufällig den IE??? wenn ja, dann hast du gewonnen und zwar die gndDE10.exe, welche sich brav von h*tp://213.159.117.150/1/ runterladen will und dann wahrscheinlich gleich installiert, nur leider ist Firefox zu blöd, einen automatischen Download zu machen und fragt blöd nach ;D ... achja, wo ist das Log von HijackThis? entfernen sollst du damit nichts ...

Moin!

Also hier mal das Logfile:

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\CTsvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINNT\system32\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINNT\system32\systime.exe
C:\WINNT\system32\systime.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://213.159.117.134/index.php
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {21972E73-F2C6-4631-9889-DE89A718BD6D} - C:\WINNT\system32\cmchh.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SysTime] C:\WINNT\system32\systime.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [SysTime] C:\WINNT\system32\systime.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{962FC9FF-BEF7-43EE-A9BF-CAC43B149C7D}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{962FC9FF-BEF7-43EE-A9BF-CAC43B149C7D}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{962FC9FF-BEF7-43EE-A9BF-CAC43B149C7D}: NameServer = 192.168.0.1
O21 - SSODL: kdqhlpFcNvhAm - {741A92C6-DEB0-386C-E8F5-F26C83A34C35} - C:\WINNT\system32\aupp.dll


Trojaner? OK, aber wieso findet NAV dann nix?

Ich lasse gerade mal Antivir laufen. Aber was kann ich jetzt ganz konkret machen?

GemFire

Moin!

Also hier mal das Logfile:

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\CTsvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINNT\system32\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINNT\system32\systime.exe -> Ich bin ein böser Trojaner
C:\WINNT\system32\systime.exe -> Ich bin ein böser Trojaner
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://213.159.117.134/index.php -> Ich bin böse
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://213.159.117.134/index.php -> Ich bin böse
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://213.159.117.134/index.php -> Ich bin böse
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://213.159.117.134/index.php -> Ich bin böse
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://213.159.117.134/index.php -> Ich bin böse
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://213.159.117.134/index.php-> Ich bin böse
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {21972E73-F2C6-4631-9889-DE89A718BD6D} - C:\WINNT\system32\cmchh.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SysTime] C:\WINNT\system32\systime.exe -> Ich bin ein böser Trojaner
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [SysTime] C:\WINNT\system32\systime.exe -> Ich bin ein böser Trojaner
O17 - HKLM\System\CCS\Services\Tcpip\..\{962FC9FF-BEF7-43EE-A9BF-CAC43B149C7D}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{962FC9FF-BEF7-43EE-A9BF-CAC43B149C7D}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{962FC9FF-BEF7-43EE-A9BF-CAC43B149C7D}: NameServer = 192.168.0.1
O21 - SSODL: kdqhlpFcNvhAm - {741A92C6-DEB0-386C-E8F5-F26C83A34C35} - C:\WINNT\system32\aupp.dll


Trojaner? OK, aber wieso findet NAV dann nix?

Ich lasse gerade mal Antivir laufen. Aber was kann ich jetzt ganz konkret machen?

GemFire

Im Taskmanager abschiessen:
C:\WINNT\system32\systime.exe
C:\WINNT\system32\systime.exe

Mit HijackThis entfernen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://213.159.117.134/index.php
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {21972E73-F2C6-4631-9889-DE89A718BD6D} - C:\WINNT\system32\cmchh.dll (file missing)

O4 - HKLM\..\Run: [SysTime] C:\WINNT\system32\systime.exe
O4 - HKCU\..\Run: [SysTime] C:\WINNT\system32\systime.exe
O21 - SSODL: kdqhlpFcNvhAm - {741A92C6-DEB0-386C-E8F5-F26C83A34C35} - C:\WINNT\system32\aupp.dllAnonym, ich bin enttäuscht von dir, wie konntest du den letzten Eintrag übersehen? Wie eine normale Anwendung sieht der aufjedenfall nicht aus ;) ...

GemFire
Warum sollte Nav den finden? Das ist doch das grosse Prob bei allen Virenscanner, sie kennen nicht alles. Antivir kennt das Teil aber schon, der Download läuft auf "Fehler beim Speichern" hinaus, weil die Datei schon gelöscht wurde ;D ...

auch im abgesicherten modus gescannt?

Anonym, ich bin enttäuscht von dir, wie konntest du den letzten Eintrag übersehen? Wie eine normale Anwendung sieht der aufjedenfall nicht aus ;) ...
Ich habe über die aupp.dll und über die CSLID nichts gefunden.
Und bevor ich nicht weis was es ist, rate ich lieber nicht dazu sie einfach zu löschen.

Ich habe über die aupp.dll und über die CSLID nichts gefunden.
Und bevor ich nicht weis was es ist, rate ich lieber nicht dazu sie einfach zu löschen.mmm...

Wegen der aupp.dll, da ist auch der Pfad alles andere als normal, ausserdem "löscht" HijackThis die Dateien nicht sofort, sondern legt ein Backup davon an, wodurch man alles rückgängig machen kann. Wenn Google etwas über eine Datei nicht findet, dann ist sie meistens böse, erst recht, wenn der Pfad alles andere als normal ist. Zu den Dateien von Windows findet man eigentlich immer was ...
Was meinst du mit CSLID? wenn du die cmchh.dll meinst, laut HijackThis fehlt die Datei sowieso, da kann dann wohl bedenkenlos der Verweis auf die Datei gelöscht werden ...

Format C und der ganze Mist ist in 2 Stunden behoben + ein sauberes System.

Dank Backup meiner C partition dauert das ganze bei mir zB 10 Minuten.

IE und Outlook sollte man eh sofort in Rente schicken und was gescheites wie Opera oder Mozilla verwenden.

mmm...

Was meinst du mit CSLID?
Buchstabendreher, sollte CLSID heisen. ;)
CLSID = {741A92C6-DEB0-386C-E8F5-F26C83A34C35}

Damn WTF, mach den zweiten link weg, sobald ich darauf geklickt ab lief mein Virenscanner wegen nem Trojaner amok. Mach blosss den Link weg ich bin froh wenn ich mir nichts eingefangen hab.............
stell dich halt an


"übler trojaner" wooohoooo mach ihm halt mehr angst als nötig ist, meine güte...trojaner sind in 99% der fälle harmlos

Format C und der ganze Mist ist in 2 Stunden behoben + ein sauberes System.

Dank Backup meiner C partition dauert das ganze bei mir zB 10 Minuten.

IE und Outlook sollte man eh sofort in Rente schicken und was gescheites wie Opera oder Mozilla verwenden.blap blap blap

Hab nen schreck gekriegt, ein Link ist ja nur mit Viren verseucht, heftig. Gut das ich Antivir habe.
@ Threadstarter : Mach bitte dein Windows vollständig platt. XP cd rein, rechner starten ... Format C: und dann gut ist.

Oder alternativ Barts PE Builder (http://www.winfuture.de/news,12691.html) von einem anderen PC aus runterladen, konfigurieren und auf CD brennen.

Hm das Zeugs scheint verdammt hartnäckig zu sein. Habs nun mehrmals versucht mit Antivir etc. zu entfernen, aber Reste bleiben!
Muss wohl doch ein neues Windows drauf:(((

Besteht die Gefahr, dass andere Dateien auf meinen anderen Festplatten mitverseucht wurden?

GemFire

So ich nochmal:

Hier das neue Logfile von HijackThis:

Logfile of HijackThis v1.98.2
Scan saved at 20:21:02, on 10.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\system32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\CTsvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINNT\system32\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{962FC9FF-BEF7-43EE-A9BF-CAC43B149C7D}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{962FC9FF-BEF7-43EE-A9BF-CAC43B149C7D}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{962FC9FF-BEF7-43EE-A9BF-CAC43B149C7D}: NameServer = 192.168.0.1
O21 - SSODL: kdqhlpFcNvhAm - {741A92C6-DEB0-386C-E8F5-F26C83A34C35} - C:\WINNT\system32\aupp.dll


Schaut für mich jetzt eigentlich OK aus, oder?

Alle Scanner (Spybot, Ad-Aware, Antivir, NAV2003) finden jetzt NICHTS mehr, jedoch ist das Problem, dass der IE ständig alle Seiten als "Vertrauenswürdige Sites" annimmt und obwohl die Cookiebehandlung eigentlich auf "Mittelhoch" steht, werden alle Cookies akzeptiert!

GemFire

mmm...

Welchen Browser benutzt du? zufällig den IE??? wenn ja, dann hast du gewonnen und zwar die gndDE10.exe, welche sich brav von h*tp://213.159.117.150/1/ runterladen will und dann wahrscheinlich gleich installiert, nur leider ist Firefox zu blöd, einen automatischen Download zu machen und fragt blöd nach ;D ... achja, wo ist das Log von HijackThis? entfernen sollst du damit nichts ...

Hab Firefox, ich werde zwar gefragt aber AntiVir schlägt trotzdem schon Alarm und scliesst die Seite automatisch bei mir.

stell dich halt an


"übler trojaner" wooohoooo mach ihm halt mehr angst als nötig ist, meine güte...trojaner sind in 99% der fälle harmlos

Jeder der den IE hat und keinen aktuellen Virenscanner bekommt nen Trojaner auf den Rechner sobald er auf den 3 Link klickt, deswegen mein ich mach den schieiss weg
:wink:

Ich war mal so frei diesen Thread an die Mods zu melden damit die diesen gefährliche Link entfernen können um nicht noch mehr Infizierungen zu bekommen .

Auch von mit die Bitte diese Links schnellstmöglich zu entfernen und auf keinen Fall versuchen auf diese Seite zu gelangen !

Damn WTF, mach den zweiten link weg, sobald ich darauf geklickt ab lief mein Virenscanner wegen nem Trojaner amok. Mach blosss den Link weg ich bin froh wenn ich mir nichts eingefangen hab.............

Ich hoffe, ich hab den richtigen Link bearbeitet?

Hab Firefox, ich werde zwar gefragt aber AntiVir schlägt trotzdem schon Alarm und scliesst die Seite automatisch bei mir.mmm...

Jup, ist bei mir auch so, wobei bei mir eben nachgefragt wird, ob der Kram wirklich runtergeladen werden soll. Das Antivir anschlägt, könnte daran liegen, das Firefox eventuell im Hintergrund schon vorsichtshalber anfängt, den Kram herunterzuladen, aber sicher bin ich mir da nicht ...

Das einzige, was mir jetzt noch Sorgen macht, ist der letzte Eintrag aus deine Log:

O21 - SSODL: kdqhlpFcNvhAm - {741A92C6-DEB0-386C-E8F5-F26C83A34C35} - C:\WINNT\system32\aupp.dll

Kannst du mal nachschauen, wozu diese Datei gehören will? Einfach die Eigenschaften der Datei aufrufen und dort sollte es einen Karteireiter für Informationen geben ...