offeroptimizer und 180solutions – Ist Rechner wieder sauber?

#1 Hallo,

ich habe eine Frage und brauche bitte Eure Hilfe: Im IE haben sich xadso. / xlime.offeroptimizer- und 180solutions-Popups geöffnet. Erst habe ich nur Popupblocker eingesetzt. Dann habe ich mich in Foren wie Eurem (tollen!) schlau gemacht und festgestellt, dass es sich um Adware handelt.

Ich bin nach Anraten eines Bekannten von Norton auf AntiVir umgestiegen. Der hat noch so einiges gefunden, was Norton nicht gemeldet hatte(!)

Folgendes habe ich noch gemacht:
Windows Update durchgeführt, IE-Update ebenso. Dann Sypbot S&D, CWShredder, Adaware scannen lassen, bis nichts mehr gefunden wurde und mit Hijackthis alle BHO-Objekte entfernt und solche, in denen „Search“ vorkam. Danach habe ich noch einmal Spybot laufen lassen und den Virenscanner.
Außerdem habe ich im abgesicherten Modus alles noch einmal gemacht. Virenscanner findet nichts. Das einzige, was mich stutzig macht, war die Meldung von Spybot S&D, dass es vier DSO Exploits gibt. Nach dem Beheben sind sie aber wieder da. Irgendjemand im Forum meinte, das sei ein Bug im Spybot?! Was ich auch regelmäßig mit CWShredder entferne und nach dem nächsten Booten ist es wieder da, ist CWS.Hiddendll . Kennt sich jemand damit aus? Ist das vielleicht auch ein Bug im CWShredder?

Wie kann ich sicher sein, dass der PC nun „clean“ ist? Oder was ist noch zu tun, damit er wieder sauber wird...? Ich habe gelesen, dass noch Übriggebliebenes sich aus dem Autostart auch wieder neu installieren kann.

Noch zur Information: Ich habe Windows XP Home mit SP2.
Im Taskmanager laufen 48 Prozesse (es sollten aber wohl nur 10-20 sein, und der Rest ist Schrott?!)

Außerdem zur Info, wie es dazu gekommen sein könnte: Wir wollten uns den Text und falls möglich das Lied selbst runterladen von „She thinks my tractor’s sexy“ und haben mit MSN danach gesucht. Es war wahrscheinlich schon vorher Spyware drauf und als „sexy“ erspäht wurde, war das gefundenes Fressen. Das war auch das, was mir zuerst auffiel: Mehr abartige Popups als vorher. Mach’ ich auch nie wieder, da kauf’ ich mir doch lieber die CD...

Wenn Ihr noch wissen müsstet, was ich so alles Software installiert habe (taucht das vielleicht im Logfile auf?!)
Office 2000
WinZip
DB Regio und ASSlight (Fahrplanauskünfte)
Bildschirmbibel, Elbiwin und Losungen 2004 (Bibelnachschlagewerke u.ä.)
Burnatonce fürs DVD-Brennen
PhotoExplorer
Software für Webcam und Camcorder
Mozilla und Firefox
GMX Internet Manager für DSL
... und den üblichen Mix, der sowieso fast überall ist (Acrobat Reader, DVD-Brenner- und –Abspielsoftware, Tweaks, etc.)

Hier ist nun der Logfile. Vielen herzlichen Dank schon mal im voraus --- Ihr könnt mir bestimmt helfen! *Danke!*

Logfile of HijackThis v1.98.2
Scan saved at 23:34:36, on 20.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\HP\KBD\KBD.EXE
C:\Programme\HomeCinema\PowerCinema\PCMService.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\PROGRA~1\PHILIP~1\VProperty.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\Dit.exe
C:\Programme\Tweak-XP Pro 4\AdBlocker.exe
C:\Programme\mozilla.org\Mozilla\Mozilla.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\DitExp.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\by the way.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\GMX Programme\GMX Internet Manager\GMX_Internet_Manager.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Dokumente und Einstellungen\Gerald\Eigene Dateien\Eigene Downloads\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de7.hpwis.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de8.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de8.hpwis.com/
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll (file missing)
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: (no name) - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - (no file)
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\HomeCinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKCU\..\Run: [BlockAds] "C:\Programme\Tweak-XP Pro 4\AdBlocker.exe"
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://de7.hpwis.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{010FB593-9259-4C18-AD93-F6B9EAF75E42}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{281394E7-4D74-4A4A-B173-99DBB9ED0434}: NameServer = 217.237.150.97 217.237.149.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{010FB593-9259-4C18-AD93-F6B9EAF75E42}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{010FB593-9259-4C18-AD93-F6B9EAF75E42}: NameServer = 192.168.122.252,192.168.122.253

----------------
22.10. 19:36 Uhr

Hi,

ich bin's noch einmal. Ich habe inzwischen etwas aufgeräumt, nachdem ich bei www.hijackthis.de/index.php mein Logfile ausgewertet habe.

Da ich mich aber nicht im Detail so gut auskenne, die Frage, ob da noch etwas Böses bei ist.

kbd.exe soll fürs Keyboard sein (hat so schöne Tasten wie "Ton aus")
msnappau.exe ist wohl Update für die MSN Toolbar (kann man diesen Updatedienst ohne Gefahr rauswerfen?)
Dit.exe soll für den Multimedia-Kartenleser sein

Sagt einem von Euch das was: h**p://de7.hpwis.com? Bei MSN Suche kommen da Seiten raus, die irgendetwas mit Lycos zu tun haben müssen, aber ich habe mich nicht getraut, dem Link nachzugehen...

Vielen Dank im voraus an jeden, der sich damit auseinandersetzt und mir helfen kann!

Hier ist der aktuelle Logfile:
Logfile of HijackThis v1.98.2
Scan saved at 09:24:36, on 22.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\HP\KBD\KBD.EXE
C:\Programme\HomeCinema\PowerCinema\PCMService.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\PROGRA~1\PHILIP~1\VProperty.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\Dit.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Tweak-XP Pro 4\AdBlocker.exe
C:\Programme\mozilla.org\Mozilla\Mozilla.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Dokumente und Einstellungen\Gerald\Eigene Dateien\Eigene Downloads\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de/
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll (file missing)
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: (no name) - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - (no file)
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\HomeCinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [BlockAds] "C:\Programme\Tweak-XP Pro 4\AdBlocker.exe"
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{010FB593-9259-4C18-AD93-F6B9EAF75E42}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{010FB593-9259-4C18-AD93-F6B9EAF75E42}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{010FB593-9259-4C18-AD93-F6B9EAF75E42}: NameServer = 192.168.122.252,192.168.122.253

#2 Hallo@Gerste

Das solltest du fixen und deinstallieren.
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo,

erst einmal vielen herzlichen Dank für die Antwort!! Habe die Anregungen umgesetzt.

Ich habe da noch ein paar Fragen...

Weiß jemand, ob der immer wiederkehrende Fund "CWS.Hiddendll" ein Bug im CWShredder ist?
Sind 48 laufende Prozesse zu viel? Ich habe eine kleine Anwendung namens "Windows-Dienste abschalten" laufen lassen, damit nicht benötigte Netzerkdienste abgeschaltet werden.
Sagt einem von Euch das was: h**p://de7.hpwis.com? Bei MSN Suche kommen da Seiten raus, die irgendetwas mit Lycos zu tun haben müssen.

Vielen herzlichen Dank noch einmal!!

#4 Hallo@Gerste

# h**p://de7.hpwis.com....Hijacker

#Zitat: .....was diese hidden.dll ist, die der CWSHREDDER 2.0 von meinem Computer gelöscht hat. Ich habe keine Anzeichen von Hijacking bei meinem System bemerken können.. Nach einer ausgiebigen Suche im Internet stieß ich auf interessante Tatsachen, nämlich, dass CWSHREDDER 2.0 Einträge aus der HOSTS Datei löscht und diesen Vorgang als CWS hidden.dll betitelt
http://spotlight.de/zforen/sec/m/sec-1098818836-12723.html

#NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ + Entbinden des NetBios

Fixe mit dem HijackTHis:
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll (file missing)
O3 - Toolbar: (no name) - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - (no file)

neustarten

Oeffne das HijackThis.
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
<PC neustarten

Start<Ausfuehren<regedit:
welche dll ist dort rechts eingetragen ??

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
_____________________________________________________________________

Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.rokop-security.de/board/index.php?showtopic=3867
*
und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten,

mfg
Sabina
*****
http://www.securiteam.com/securityreviews/5RP0L0UD5U.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Danke für die Hinweise. Ich habe inzwischen den Rechner neu aufgesetzt bekommen. Den eScan führe ich nun regelmäßig durch, ist doch sehr hilfreich. Vielen Dank noch mal!