Home » Spyware & Browser Hijacker Support Forum » Problem - Spyware Infection - Blauer Bildschirm » Themenansicht

Problem - Spyware Infection - Blauer Bildschirm
#0
24.01.2006, 12:44
prokulus
...neu hier

Beiträge: 4
#1 Hi all,

habe über dieses Problem nun schon viel gelesen und bin zur Überzeugung gekommen, dass alle Logfiles unterschiedlich sind und ich daher nix ableiten kann auf mein Problem. Daher hier schon mal mein Logfile mit der Bitte mal drüber zu schaun und mir dabei zu helfen den PC wieder "Clean zu kriegen, evtl. kann mir auch jemand sagen wie man sich vor solchen Angriffen schützen kann.

Vielen Dank schon mal

Herbert
________________________________________________

Logfile of HijackThis v1.99.1
Scan saved at 12:15:16, on 24.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Navnt\POProxy.exe
C:\Programme\Daily Weather Forecast\weather.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\winstall.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\Navnt\navapw32.exe
C:\Programme\USB Sharing\usbshare.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\PROGRA~1\Navnt\navapsvc.exe
C:\PROGRA~1\Navnt\npssvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\PROGRA~1\Navnt\alertsvc.exe
d:\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://popnav.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000240} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Navnt\POProxy.exe
O4 - HKLM\..\Run: [NPS Event Checker] C:\PROGRA~1\Navnt\npscheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ScheduleSync.Siemens.SmartSync.5.2.exe] c:\Programme\Mobile Phone Manager\SmartSync\ScheduleSync.exe
O4 - HKLM\..\Run: [Daily Weather Forecast] C:\Programme\Daily Weather Forecast\weather.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autofix
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Verknüpfung mit clean.lnk = C:\clean.bat
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Norton AntiVirus AutoProtect.lnk = C:\Programme\Navnt\navapw32.exe
O4 - Global Startup: USB Sharing.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {41F31718-2B9D-4F76-85E2-DD11BBA99F8D} - http://install.spywarelabs.com/DistID/2501031120/BundleOuter2501031120.EXE
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/7.20.0003/OCI/setup.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/072c4c69c9df70383623/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097654024750
O16 - DPF: {BD092CD7-AA66-4FF6-8CE1-D4E01489ED2B} (VacPro.UserControl1) - http://www.7adpower.com/dialer/EMSAT.CAB
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://www.popfile.de/myplaylist/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NAV Alert - Symantec Corporation - C:\PROGRA~1\Navnt\alertsvc.exe
O23 - Service: NAV Auto-Protect - Symantec Corporation - C:\PROGRA~1\Navnt\navapsvc.exe
O23 - Service: Norton Program Scheduler - Symantec Corporation - C:\PROGRA~1\Navnt\npssvc.exe
O23 - Service: Office Source Engine (ose) - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
Dieser Beitrag wurde am 24.01.2006 um 13:01 Uhr von prokulus editiert.
Seitenanfang Seitenende
24.01.2006, 13:49
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 prokulus

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 4 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.01.2006, 14:16
prokulus
...neu hier

Themenstarter

Beiträge: 4
#3 Hallo Sabina,

habe nun den CleanUp eingestellt und laufen lassen.

Hier die Übersicht der Dateien der letzten 4 Monate sowie ein neues HijackThis:

c:\tmp ist leer

Datenträger in Laufwerk C: ist Root
Volumeseriennummer: A020-14A1

Verzeichnis von C:\WINDOWS\system32

22.01.2006 14:42 2.206 wpa.dbl
17.01.2006 14:15 10.838 CNBJHLP2.GID
08.01.2006 06:34 220.040 FNTCACHE.DAT
05.01.2006 04:41 2.836.320 MRT.exe
29.12.2005 03:54 280.064 gdi32.dll
19.12.2005 16:29 7.006 jupdate-1.5.0_06-b05.log
09.12.2005 11:06 3.705 qtplugin.log
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
30.10.2005 11:39 416.394 perfh009.dat
30.10.2005 11:39 61.996 perfc009.dat
30.10.2005 11:39 438.756 perfh007.dat
30.10.2005 11:39 74.604 perfc007.dat
30.10.2005 11:39 1.003.256 PerfStringBackup.INI
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 205.312 dxtrans.dll
20.10.2005 23:25 1.094.144 esent.dll
17.10.2005 22:20 118.272 t2embed.dll
17.10.2005 22:20 80.896 fontsub.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:08 1.839.616 win32k.sys
29.09.2005 21:22 167.424 SpoonUninstall.exe
23.09.2005 04:06 8.491.520 shell32.dll
15.09.2005 19:06 628 jupdate-1.5.0_04-b05.log
10.09.2005 02:54 2.067.968 cdosys.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll
30.08.2005 04:55 1.292.800 quartz.dll
23.08.2005 04:39 124.416 umpnpmgr.dll
22.08.2005 19:31 197.632 netman.dll
11.08.2005 16:11 65.024 nwwks.dll

Datenträger in Laufwerk C: ist Root
Volumeseriennummer: A020-14A1

Verzeichnis von C:\WINDOWS

24.01.2006 14:04 1.887.261 WindowsUpdate.log
24.01.2006 14:04 157 wiadebug.log
24.01.2006 14:04 50 wiaservc.log
24.01.2006 14:04 0 0.log
24.01.2006 14:04 2.048 bootstat.dat
24.01.2006 14:03 32.622 SchedLgU.Txt
24.01.2006 10:51 4.359 ODBCINST.INI
13.01.2006 10:21 116 NeroDigital.ini
11.01.2006 18:07 663.415 iis6.log
11.01.2006 18:07 95.678 ntdtcsetup.log
11.01.2006 18:07 205.293 tsoc.log
11.01.2006 18:07 20.976 tabletoc.log
11.01.2006 18:07 10.070 KB908519.log
11.01.2006 18:07 23.132 ocmsn.log
11.01.2006 18:07 74.076 netfxocm.log
11.01.2006 18:07 28.333 medctroc.Log
11.01.2006 18:07 21.866 msgsocm.log
11.01.2006 18:07 401.062 FaxSetup.log
11.01.2006 18:07 141.022 msmqinst.log
09.01.2006 15:23 170 GENOLITE.INI
08.01.2006 06:38 1.355 imsins.BAK
08.01.2006 06:38 10.997 KB912919.log
08.01.2006 06:38 24.832 updspapi.log
19.12.2005 16:30 4.458 mozver.dat
19.12.2005 15:18 1.197 win.ini
19.12.2005 08:41 9.881 KB910437.log
19.12.2005 08:41 15.802 KB905915.log
13.12.2005 20:21 3.591 Ulead32.ini
13.12.2005 18:21 87 msdevctl.ini
13.12.2005 18:21 89 Zeichenkette kann nicht gelade
30.11.2005 08:52 5.390 ModemLog_Bluetooth Fax Modem.txt
18.11.2005 10:01 4.562 ModemLog_Bluetooth LAP Modem.txt
10.11.2005 07:24 11.839 KB896424.log
16.10.2005 18:55 22.149 KB901017.log
16.10.2005 18:55 24.555 KB902400.log
16.10.2005 18:54 15.026 KB896688.log
16.10.2005 18:54 13.902 KB899589.log
16.10.2005 18:54 14.220 KB905414.log
16.10.2005 18:54 13.938 KB900725.log
16.10.2005 18:54 11.341 KB904706.log
16.10.2005 18:54 11.943 KB905749.log
08.10.2005 16:42 54 group.ini
08.10.2005 16:37 550 Common.ini
08.10.2005 14:45 0 Biutil.INI
28.09.2005 22:22 99.970 UninstallFirefox.exe
15.09.2005 13:35 50 UNNeroMediaHome.cfg
15.09.2005 11:29 3.108 cdplayer.ini
15.09.2005 06:47 139 accessdll.log
15.09.2005 06:45 1.480 avmadd32.log
15.09.2005 06:45 105 avmsysnet.log
12.09.2005 15:13 233.472 UNRecode.exe
12.09.2005 15:13 233.472 UNNeroVision.exe
12.09.2005 15:13 233.472 UNNeroMediaHome.exe
12.09.2005 15:13 233.472 UNNeroBackItUp.exe
12.09.2005 15:13 233.472 UNNeroShowTime.exe
30.08.2005 20:37 50 UNNeroVision.cfg
30.08.2005 20:37 50 UNNeroShowTime.cfg
30.08.2005 20:36 50 UNRecode.cfg
30.08.2005 20:33 50 UNNeroBackItUp.cfg
15.08.2005 17:35 608 ODBC.INI

Datenträger in Laufwerk C: ist Root
Volumeseriennummer: A020-14A1

Verzeichnis von C:\

24.01.2006 14:13 0 sys.txt
24.01.2006 14:13 10.010 system.txt
24.01.2006 14:13 99 systemtemp.txt
24.01.2006 14:07 105.905 system32.txt
24.01.2006 14:05 235.455 winzip.log
24.01.2006 14:04 72 Pollog.txt
24.01.2006 14:04 474.375 PollSt.txt
24.01.2006 14:03 805.306.368 pagefile.sys
23.01.2006 15:36 429 datFind.bat
30.07.2005 21:12 4.126 DMF2_WKLog.txt
22.05.2005 09:31 129.510 test_map.bmp
16.03.2005 07:21 3.435 INSTALL.LOG
01.02.2005 15:02 72 Modul1.bas
14.10.2004 08:30 1.730 TDSLCheck.txt
13.10.2004 16:49 211 boot.ini
13.10.2004 16:43 47.564 NTDETECT.COM
13.10.2004 16:43 251.184 ntldr
11.10.2004 22:59 192 BcBtRmv.log
15.09.2004 12:02 78.038 SDSSetup.log
29.07.2004 15:33 13 ~State.INI
29.07.2004 15:33 81 BURNER2.LOG
04.06.2004 16:01 147 LxDasi.Log
24.02.2004 12:58 45 vac.log
13.10.2003 08:06 37 clean.bat
07.10.2003 21:49 0 MSDOS.SYS
07.10.2003 21:49 0 CONFIG.SYS
07.10.2003 21:49 0 IO.SYS
07.10.2003 21:49 0 AUTOEXEC.BAT
18.08.2001 13:00 4.952 bootfont.bin
24.05.2001 12:59 162.304 UNWISE.EXE
30 Datei(en) 806.816.354 Bytes
0 Verzeichnis(se), 11.050.631.168 Bytes frei

Logfile of HijackThis v1.99.1
Scan saved at 14:14:55, on 24.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Navnt\POProxy.exe
C:\PROGRA~1\Navnt\navapsvc.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\PROGRA~1\Navnt\npssvc.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\Navnt\navapw32.exe
C:\Programme\USB Sharing\usbshare.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\PROGRA~1\Navnt\alertsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Anti Virus Tools\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://popnav.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Navnt\POProxy.exe
O4 - HKLM\..\Run: [NPS Event Checker] C:\PROGRA~1\Navnt\npscheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ScheduleSync.Siemens.SmartSync.5.2.exe] c:\Programme\Mobile Phone Manager\SmartSync\ScheduleSync.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Verknüpfung mit clean.lnk = C:\clean.bat
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Norton AntiVirus AutoProtect.lnk = C:\Programme\Navnt\navapw32.exe
O4 - Global Startup: USB Sharing.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/7.20.0003/OCI/setup.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/072c4c69c9df70383623/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097654024750
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://www.popfile.de/myplaylist/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NAV Alert - Symantec Corporation - C:\PROGRA~1\Navnt\alertsvc.exe
O23 - Service: NAV Auto-Protect - Symantec Corporation - C:\PROGRA~1\Navnt\navapsvc.exe
O23 - Service: Norton Program Scheduler - Symantec Corporation - C:\PROGRA~1\Navnt\npssvc.exe
O23 - Service: Office Source Engine (ose) - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
Seitenanfang Seitenende
24.01.2006, 14:30
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine log-datei auf dem Desktop: kopiere sie in deinen Thread

---------------------------------------------------------------------

ist fuer mich:
C:\DOCUME~1\User\LOCALS~1\Temp\Sem_nome.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://popnav.com
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.01.2006, 14:40
prokulus
...neu hier

Themenstarter

Beiträge: 4
#5 Hallo,

hier nun der Output der Datei fsbl-20060124133541

01/24/06 14:37:59 [Info]: BlackLight Engine 1.0.30 initialized
01/24/06 14:37:59 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/24/06 14:37:59 [Note]: 7019 4
01/24/06 14:37:59 [Note]: 7005 0
01/24/06 14:38:14 [Note]: 7006 0
01/24/06 14:38:14 [Note]: 7011 1912
01/24/06 14:38:14 [Note]: FSRAW library version 1.7.1014
01/24/06 14:40:06 [Note]: 7007 0

Gruss
Herbert
Seitenanfang Seitenende
24.01.2006, 23:31
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 prokulus

deinstalliere:
C:\Programme\Daily Weather Forecast
ansonsten kann ich nicht weiter finden.

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://popnav.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

PC neustarten

scanne mit ewido und kopiere hier den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.01.2006, 23:46
prokulus
...neu hier

Themenstarter

Beiträge: 4
#7 Hallo,

bin soweit wieder im "Reinen", habe alles was ich finden konnte, plus die Tipps und Infos von Sabine (Vielen Dank) verarbeitet. Der Rechner läuft wieder wie gewohnt.

Es bleibt noch eine Störung, ich kann die Desktop Icons nicht mehr auf Transparent setzen. Habe mich schon durch diverse Foren gelesen und keinen Erfolg erzielt.

- Arbeitsplatz - Eigenschaften - Systemeigenschaften - Erweitert - Visuelle Effekte - Durchsichtigen Hintergrund für Symbolunterschriften auf Desktop

-> ohne Erfolg

- RegEdit auf diversen Einträge in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "ListviewShadow" geändert


-> ohne Erfolg

Hat hier noch jemand einen Tip?

Was noch offen bleibt, wie kann ich mich davor schützen?

Danke an Sabina!!

Ciao
Herbert
Seitenanfang Seitenende
25.01.2006, 01:29
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 prokulus

zu den Icons kann ich nichts sagen.
ich kann aber mal nachsehen ;)

kopiere das Log vom Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.01.2006, 11:03
can
...neu hier

Beiträge: 1
#9 Logfile of HijackThis v1.99.1
Scan saved at 10:55:38, on 25.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\System32\keyhook.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Information Update\iu.exe
C:\WINDOWS\system32\private.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\INTERCAFE\Intercafe.exe
C:\WINDOWS\System32\iServerAsync.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Aksoy\LOKALE~1\Temp\Rar$EX00.047\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr6/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\ycomp5_5_7_0.dll
O2 - BHO: MyQuickSearch Search Assistant BHO - {04011C11-2F3B-44ed-977C-270CA669C6B2} - C:\Programme\MyQuickSearch\SrchAstt\1.bin\MQSSRCAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: mqsBar BHO - {0E677221-E309-4341-81BD-3CC3018BF5B3} - C:\Programme\MyQuickSearch\bar\1.bin\MQSBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: My &Quick Search - {0E677229-E309-4341-81BD-3CC3018BF5B3} - C:\Programme\MyQuickSearch\bar\1.bin\MQSBAR.DLL
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\ycomp5_5_7_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [llxkex] c:\windows\system32\llxkex.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [p2pnetwork] p2pnetwork.exe
O4 - HKLM\..\Run: [Information Update] C:\Programme\Information Update\iu.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\system32\private.exe internat.dll,LoadMouseCarpetProfile
O4 - HKLM\..\RunServices: [p2pnetwork] p2pnetwork.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunServices: [p2pnetwork] p2pnetwork.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093350916953
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
Seitenanfang Seitenende
25.01.2006, 15:03
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 can

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\private.exe
c:\windows\system32\llxkex.exe
C:\Programme\Information Update\iu.exe
C:\WINDOWS\System32\keyhook.exe
C:\WINDOWS\System32\p2pnetwork.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1