servus leutz,hab gehört das hier is n gutes board zum auswerten von hjt logfiles.da ich von sowas keine ahnung hab,wende ich mich also mal an euch.hier des logfile:

Logfile of HijackThis v1.99.1
Scan saved at 21:47:54, on 13.05.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\MFCCT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\AOL 9.0G\WAOL.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\AOL 9.0G\SHELLMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\AOLTPSPD.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\obxey.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\obxey.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\obxey.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\obxey.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\obxey.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\obxey.dll/sp.html#83556
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\obxey.dll/sp.html#83556
R3 - Default URLSearchHook is missing
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: Class - {7CDDB620-5ABD-0600-A30E-EA965954291F} - C:\WINDOWS\MSCQ.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.4000.1001\DE\MSNTB.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WAOL.EXE] C:\PROGRAMME\AOL 9.0G\WAOL.EXE
O4 - HKLM\..\Run: [MFCCT.EXE] C:\WINDOWS\MFCCT.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: 50 FREE MP3s! - {686C970F-1D7D-4469-85D1-4B35763B56CC} - h**p://www.emusic.com?fref=149133 (file missing)
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - h**p://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net


danke :p

peace and greetz,Snoke

@ Vimes

Die C:\WINDOWS\SYSTEM\WMIEXE.EXE ist zumindest unter Win ME am richtigen Platz.

Diese " R3 - Default URLSearchHook is missing" sollte auch gefixt werden.

Ausserdem sollte der Rechner komplett vom I-Net getrennt werden bevor ein Logfile mit HJT erstellt wird.

Hi Snoke,

bitte überprüfe die Datei C:\WINDOWS\MFCCT.EXE hier und poste das Ergebnis.

Fixe folgende Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\obxey.dll/sp.html#83556

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\obxey.dll/sp.html#83556

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about :blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\obxey.dll/sp.html#83556

(alle)

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {7CDDB620-5ABD-0600-A30E-EA965954291F} - C:\WINDOWS\MSCQ.DLL

O4 - HKLM\..\Run: [MFCCT.EXE] C:\WINDOWS\MFCCT.EXE

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

Nachdem du uns das ergebnis des Jotti-Scans mitgeteilt hast, lösche manuell C:\WINDOWS\MFCCT.EXE

Lade dir E-Scan runter und führe das Programm aus. Gehe genau nach dieser Anleitung vor:

http://www.dedies-board.de/wbb2/thread.php?threadid=286

und poste uns die 'Virus Log Information'

Hallo Snoke,

die von eScan beanstandete Malware erscheint mir etwas wenig zu sein.
Öffne die mwav.log und scrolle bis ans Ende, dort findest du dann eine Zusammenfassung, poste diese.

Nette Sammlung, und die hälts du nicht für umbedingt wichtig

@ MobyDuck

Full Ack

Das bestätigt mir mal wieder, dass ich mit Kaspersky Anti-Virus einen guten Virenscanner installiert habe. Der hat schon öfters Trojan-Downloader beim Eintritt in den Browsercache gefunden, lange bevor sie aktiv werden konnten. Man muss aber nicht unbedingt einen Scanner haben, der alles merkt. Wenn man Brain 1.0 einsetzt, kann man auch mit regelmäßigen Löschen der Internetcachescaches (Java, IE, andere Browser) schlimmes verhindern.

edit:
Kaspersky läuft bei mir mit zwei Systemprozessen im Speicher. Einmal der normale Virenscanner, der bei Bedarf gestartet (on Demand Scanner) wird (zB. mit rechtklick auf eine Datei aus dem Kontextmenü heraus) und dann der Hintergrundwächter (on Access-Scanner) der jede Datei scannt, die in den RAM geladen wird.
Ist der HIntergrundwächter deaktiviert, bzw. läuft keiner, werden auch Trojaner (oder Trojan-Downloader), die von vielen nicht vertrauenswürdigen Seiten mit in den Internetcache gepült werden nicht dabei erkannt. Das können auch Dialer sein.