Logfile of HijackThis v1.99.0
Scan saved at 11:28:31, on 15.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
F:\Programme\BearShare\BearShare.exe
C:\WINDOWS\System32\win32.exe
C:\WINDOWS\System32\winlog.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
F:\Programme\CloneCD\CloneCDTray.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
F:\Dokumente und Einstellungen\Frank\Eigene Dateien\Any DvD\Any Dvd2\AnyDVD\AnyDVD.exe
C:\WINDOWS\SYSCFG16.EXE
F:\Programme\Skype.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\ehome\ehSched.exe
F:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
F:\Programme\Norton AntiVirus\SAVScan.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
F:\PROGRA~1\INCRED~1\bin\IMApp.exe
F:\Programme\IncrediMail\bin\IncMail.exe
C:\Dokumente und Einstellungen\Frank\Desktop\Computerwartung\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - f:\Programme\WinSweep\SurfBar.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - F:\Programme\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [BearShare] "F:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [Registry oidet] win32.exe
O4 - HKLM\..\Run: [Windows Firewall Log] winlog.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AnyDVD] F:\Dokumente und Einstellungen\Frank\Eigene Dateien\Any DvD\Any Dvd2\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\SYSCFG16.EXE
O4 - HKLM\..\RunServices: [Registry oidet] win32.exe
O4 - HKLM\..\RunServices: [Windows Firewall Log] winlog.exe
O4 - HKCU\..\Run: [Skype] "F:\Programme\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - F:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=h**p://www.versatel.de/internet-cd/
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/Share...n/bin/cabsa.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - h**p://cm4all01.kundenserver.de/app/stat...ivex/msxml4.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - h**p://www2.incredimail.com/contents/set...p1/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1BEE28A7-1E18-471E-BE4D-8F24353F34EB}: NameServer = 212.7.148.65 212.7.148.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{1BEE28A7-1E18-471E-BE4D-8F24353F34EB}: NameServer = 212.7.148.65 212.7.148.97
O17 - HKLM\System\CS2\Services\Tcpip\..\{1BEE28A7-1E18-471E-BE4D-8F24353F34EB}: NameServer = 212.7.148.65 212.7.148.97
O20 - AppInit_DLLs: 8ii3zkrj3cj3e9ll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dl
l.dll.dll.dll.dll.dll.dll..
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - F:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - F:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - F:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe


Anklickbare Links editiert
Mfg. dedie, Admin d-b

Das sieht nicht schön aus, da sind ein paar schöne Trojaner drauf.

C:\WINDOWS\System32\win32.exe Im abgesichtertem Modus fixen und datei von Hand löschen.

C:\WINDOWS\SYSCFG16.EXE Im abgesichtertem Modus fixen und datei von Hand löschen.

O4 - HKLM\..\Run: [Registry oidet] win32.exe

O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\SYSCFG16.EXE

O4 - HKLM\..\RunServices: [Registry oidet] win32.exe

O20 - AppInit_DLLs: 8ii3zkrj3cj3e9ll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dl
l.dll .dll.dll.dll.dll.dll.
Im abgesichtertem Modus fixen

Anschließend den Rechner mit e-scan scannen und das ergebnis hier im Thread posten.
Du solltest dich aber schon mit dem gedanken des Neuaufsetzens des Systems anfreunden, es sieht nicht so gut aus.

Wenn es irgend geht, geh bitte mit einem anderen Rechner oder einer Knoppix-CD ins Netz. Du pustest sonst selber Würmer und ähnliches durch die Landschaft...

Ich würde gleich neu Aufsetzen und das System sauber abdichten (inkl. SP2). Wie, das findest Du hier im Forum.

MfG
Vimes

@ deoroller

Ist eine ganz einfache Erklärung, diese Schädlinge kommen über eine uralte Sicherheitslücke von Windoff rein.

Dieser Eingang wird von keinem Virenscanner bewacht (für den zu überwachen müßte der Virenscanner echt was taugen) .

Aus diesem Grund gilt halt die Empfehlung "Vor dem ersten Onlinegzugang mit einem Windowssystem sind zuerst von einer sicheren CD die aktuellsten Patches auf zuspielen


PS: In diesem Fall ist halt wie schon von "Haui" angemerkt das System schon etwas mehr als nur nicht Up To date

Zitat:

Original von dedie Vor dem ersten Onlinegzugang mit einem Windowssystem sind zuerst von einer sicheren CD die aktuellsten Patches auf zuspielen

ACK. Außerdem ist vor dem ersten Onlinegang alles abzuschalten, was nicht nach außen angeboten werden soll. [1] Und wenn man panische Angst hat, kann man auch die XP-Firewall aktivieren.

MfG
Vimes

[1] Deswegen wurde meine Windows-Partition neulich mit abgezogenem Netzwerk-Stecker neu aufgesetzt. [2]
[2] Nicht wegen Viren-Befall sondern wegen Wechsels auf ein Barebone-System mit neuem Mainboard...