""Your personal data succesfully tracked!"" desktop und explorer spinnen

#0
06.09.2005, 19:52
...neu hier

Beiträge: 9
#1 hui!!

das thema wurde hier zwar schon mal angeschnitten, aber keine ahnung ob mich da noch jemand sieht, is schon a bissl älter!!!

Mein desktop ist seit eben rot und überall steht sowas wie: "Your personal data succesfully tracked!" das steht sowohl aufm desktop als auch im iExplorer auf jeder seite oben oder unten!!

ich brauch bitte bitte bitte hilfe!!!!!!!!

1000dank im voraus

also, mein hijack Logfile


Logfile of HijackThis v1.99.1
Scan saved at 19:41:40, on 06.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AntiVirenKit 2005 trial\AVKService.exe
C:\Programme\AntiVirenKit 2005 trial\AVKWCtl.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\McAfee.com\VSO\mcvsshld.exe
C:\Programme\McAfee.com\VSO\oasclnt.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\chel\sbea.exe
C:\WINDOWS\System32\6f1b0f48cdc.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\WINDOWS\System32\6f1b0f48cdc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Dokumente und Einstellungen\HP\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Windows Executable Dir] crsrs.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [6f1b0f48cdc] C:\WINDOWS\System32\6f1b0f48cdc.exe
O4 - HKLM\..\RunServices: [Windows Executable Dir] crsrs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [T-Online_Software_5\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Programme\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4
O4 - HKCU\..\Run: [Awgqveju] C:\WINDOWS\System32\m?hta.exe
O4 - HKCU\..\Run: [Saoe] C:\Programme\chel\sbea.exe
O4 - HKCU\..\Run: [6f1b0f48cdc] C:\WINDOWS\System32\6f1b0f48cdc.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O15 - Trusted Zone: http://www.web-records.com
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall-beta.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/201eb457df2a7ec58d05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110750487505
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3670A767-B01C-4CCC-AB20-3A2695A2C16F}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2005 trial\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2005 trial\AVKWCtl.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: Marmiko ZeroConfig Controller (MZCCntrl) - Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\HP\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing)
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner - C:\WINDOWS\System32\winpnp32.exe (file missing)
Seitenanfang Seitenende
06.09.2005, 20:47
Member
Avatar Gool

Beiträge: 4730
#2 Bringe Deinen PC auf den aktuellen Stand! ServicePack2 und alle weiteren Updates!

Du hast mindestens 2 Viren/Trojaner auf Deinem PC.

Überprüfe bei http://www.virustotal.com folgende Dateien und teile uns das Ergebnis mit:

C:\Programme\chel\sbea.exe
C:\WINDOWS\System32\6f1b0f48cdc.exe

HijackThis (HJT): Häkchen setzen und auf fix checked klicken:
O4 - HKLM\..\Run: [Windows Executable Dir] crsrs.exe
O4 - HKLM\..\Run: [6f1b0f48cdc] C:\WINDOWS\System32\6f1b0f48cdc.exe
O4 - HKLM\..\RunServices: [Windows Executable Dir] crsrs.exe
O4 - HKCU\..\Run: [Awgqveju] C:\WINDOWS\System32\m?hta.exe
O4 - HKCU\..\Run: [Saoe] C:\Programme\chel\sbea.exe
O4 - HKCU\..\Run: [6f1b0f48cdc] C:\WINDOWS\System32\6f1b0f48cdc.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\HP\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing)
O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner - C:\WINDOWS\System32\winpnp32.exe (file missing)

Lade von http://virus-protect.org/killbox.html das Programm Killbox herunter und entpacke es.

Starte den PC in den abgesicherten Modus und führe folgendes aus:

Killbox starten. Dort "Delete on Reboot" aktivieren und danach folgendes in das Eingabefeld kopieren (jeweils mit Klick auf das weiße Kreuz im roten Feld bestätigen; die Abfrage, ob jetzt neugestartet werden soll, erst nach der letzten Datei mit JA beantworten):

C:\WINDOWS\System32\winpnp32.exe
C:\WINDOWS\System32\6f1b0f48cdc.exe
C:\Programme\chel\sbea.exe
C:\WINDOWS\System32\m?hta.exe
c:\Windows\System32\crsrs.exe

Der PC wird neugestartet. Wieder in den abgesicherten Modus gehen!

Start -> Ausführen -> cmd
einzeln reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

Es wird sich jeweils eine Text-Datei öffnen, wovon Du uns bitte alle Einträge der vergangenen vierzehn Tage (vor jeder aufgeführten Datei befindet sich ein Datum) hier rein kopierst. Bitte arbeite das ab, dann können wir weiterhelfen.

Nachtrag: Sehe ich es richtig, dass Du zwei Virenscanner installiert hast? Deinstalliere einen davon, denn zwei Virenscanner können sich gegenseitig unbrauchbar machen und das System extrem verlangsamen.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
06.09.2005, 23:08
...neu hier

Themenstarter

Beiträge: 9
#3 hui,

also, erst mal vielen vielen dank für die schnelle antwort, es gibt da aber ein paar probleme:

virustotal sagt mir bei beiden dateien folgendes:

File size can't be more than 10 Megabytes.
You can't try compressing it.
Thanks you.

die beiden dateien sind mittlerweile verschwunden, falls sie überhaupt da waren.

die hijackthis einträge sind nu gefixed, die killbox is auch nach anleitung ausgeführt. nur leider gehts danach nich mehr weiter. cmd is ausgeführt, die ersten zwei zeilen funktionieren je noch, die dritte (dir /a:-d /o:-d > %systemdrive%\system32.txt usw.) aber muss wohl a bissl falsch sein, weil da nix mehr passiert!!! (oder bin ich zu blöd?)
Seitenanfang Seitenende
06.09.2005, 23:12
Member
Avatar Gool

Beiträge: 4730
#4 in der dritten zeile werden nur die daten in die angegebene TXT-Datei geschrieben. Von dem Vorgang selbst siehst Du nichts, aber wenn Du die vierte Zeile ausführst, dann bekommst Du das Ergebnis der dritten Zeile ausgeliefert ;)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
06.09.2005, 23:58
...neu hier

Themenstarter

Beiträge: 9
#5 so, nu gehts:


Verzeichnis von C:\WINDOWS\system32

05.09.2005 17:30 2.154 ssmute.ini
05.09.2005 10:59 1.158 wpa.dbl
25.08.2005 15:53 122.928 FNTCACHE.DAT


Verzeichnis von C:\DOKUME~1\HP\LOKALE~1\Temp

06.09.2005 22:05 16.384 ~DF39F3.tmp
06.09.2005 21:53 300 kb.log
06.09.2005 21:52 16.384 ~DF13B0.tmp
06.09.2005 21:44 16.384 Perflib_Perfdata_378.dat
06.09.2005 21:31 16.384 ~DFEC76.tmp
06.09.2005 19:59 1.548 e249ccd69.html
06.09.2005 19:59 0 50b07b87ae6.a76
06.09.2005 19:06 9.996 2f8f3b229e.wav


Verzeichnis von C:\WINDOWS

06.09.2005 23:42 1.321.242 ntbtlog.txt
06.09.2005 23:40 9.686 system.txt
06.09.2005 23:35 800 win.ini
06.09.2005 23:29 2.048 bootstat.dat
06.09.2005 23:26 50 wiaservc.log
06.09.2005 23:26 216 wiadebug.log
06.09.2005 22:46 0 0.log
06.09.2005 19:59 564 6f1b0f48cdc.ini
05.09.2005 23:28 217.243 setupact.log
05.09.2005 19:03 115.233 setupapi.log
05.09.2005 15:38 54.156 QTFont.qfn
29.08.2005 20:09 0 LiveBilliardsDemo.INI
29.08.2005 15:35 425.836 wmsetup.log
29.08.2005 13:08 5.818 Reason Preferences.prf
24.08.2005 00:53 34 mswsyst.doc
20.08.2005 12:24 3.838 ModemLog_Agere Systems AC'97 Modem.txt
18.08.2005 17:48 13.042 USB Keyboard Device Setup Log.txt
18.08.2005 17:45 529.710 WindowsUpdate.log
14.08.2005 16:04 1.409 QTFont.for


Verzeichnis von C:\

06.09.2005 23:44 0 sys.txt
06.09.2005 23:42 9.686 system.txt
06.09.2005 23:37 696 systemtemp.txt
06.09.2005 23:32 99.557 system32.txt
06.09.2005 23:28 402.653.184 pagefile.sys
06.09.2005 22:46 72 Pollog.txt
06.09.2005 22:46 167.768 PollSt.txt
06.09.2005 21:16 16.113 hpfr3740.log

und ne kurze frage hab ich da noch: WOHER WISST IHR DASS DENN ALLES??
Seitenanfang Seitenende
07.09.2005, 01:26
Member
Avatar Gool

Beiträge: 4730
#6 Lösche alle Temporären Dateien mit dem CCleaner:
http://virus-protect.org/temp.html

Wieder mit Killbox:
c:\windows\system32\ssmute.ini
C:\DOKUME~1\HP\LOKALE~1\Temp\e249ccd69.html
C:\DOKUME~1\HP\LOKALE~1\Temp\50b07b87ae6.a76
C:\DOKUME~1\HP\LOKALE~1\Temp\2f8f3b229e.wav
c:\windows\6f1b0f48cdc.ini

Und zum Abschluss bitte einen Scan mit eScanCheck. Poste dann das Ergebnis wie auf der Seite beschrieben.

Woher wir das wissen? Fachzeitschriften, Internet und das Kennenlernen des eigenen PCs. Also quasi autodidakt ;)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
07.09.2005, 18:34
...neu hier

Themenstarter

Beiträge: 9
#7 super, alles wech, 1000 dank schon mal!!! scan läuft noch, dauert ja ewig... ich brings dann hier her, wenns feddich is!!

danke nochmal!!!!
Seitenanfang Seitenende