Home » Spyware & Browser Hijacker Support Forum » IE öffnet ständig neue Werbefenster - Adaware meldet guard.tmp » Themenansicht

IE öffnet ständig neue Werbefenster - Adaware meldet guard.tmp
#0
06.03.2006, 20:39
oerens
...neu hier

Beiträge: 6
#1 Hallo bin neu hier und beeindruckt von den vielen Posts, bei denen Ihr helfen konntet. - Wäre klasse, wenn Ihr auch in meinem Fall mit Rat und Tat zu Seite stehen könntet. Danke schon mal vorab.

Meine Hauptprobleme:

IE öffnet ständig neue Werbefenster

Adaware meldete u.a. guard.tmp, der jeweils nicht entfernt werden konnte

Spybot Sear & Destroy bringt ständig neue Teatimer-Fenster. Habe ihn inzwischen genervt abgeschaltet.

Neuedings kommt nach dem Boot eine Windows-Installer-Fehlermeldung, dass Norton AV Fehler zwar erkennen, jedoch nicht reparieren kann.

In meiner Verzweiflung habe ich zwischendurch auch noch Sophos installiert, kriege es jetzt aber nicht mehr raus...

Also eine ganze Menge Mist aufm Rechner, richtig?

Hier mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 20:30:42, on 06.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\CounterSpy\sunserver.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\GhostTyperXML\GhostTyp.exe
D:\Eigene Dateien\Programme\ISDN Monitor\Isdnmo32.exe
C:\Programme\CounterSpy\SunProtectionServer.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\CounterSpy\Thread.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Norton AntiVirus\OPScan.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
D:\Eigene Dateien\Downloads\Hijackthis\HijackThis.exe

R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} -

C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
F2 - REG:system.ini: Shell=C:\WINDOWS\explorer.exe
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} -

C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -

C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} -

C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] "C:\Programme\Norton AntiVirus\CfgWiz.exe" /GUID

{0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: ISDN Monitor.lnk = D:\Eigene Dateien\Programme\ISDN Monitor\Isdnmo32.exe
O4 - Startup: Microsoft Outlook.lnk = C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
O4 - Global Startup: GhostTyperXML.lnk = C:\Programme\GhostTyperXML\GhostTyp.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Convert link target to Adobe PDF -

res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF -

res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF -

res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF -

res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF -

res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF -

res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat

7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat

7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth

Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} -

C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} -

C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... -

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} -

C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} -

C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} -

C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} -

C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} -

http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} -

http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -

C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -

C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation

Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) -

https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) -

C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?11243

44750843
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -

http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?11243

44735187
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) -

https://www-secure.symantec.com/techsupp/asa/SymAData.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) -

http://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{26AB1BC3-74E0-46E7-98A1-515FB02947C1}: NameServer =

192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{26AB1BC3-74E0-46E7-98A1-515FB02947C1}: NameServer =

192.168.120.252,192.168.120.253
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} -

C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: LBTServ - C:\Programme\Gemeinsame

Dateien\Logitech\Bluetooth\lbtserv.dll
O20 - Winlogon Notify: NetCache - C:\WINDOWS\system32\lv4u09h9e.dll
O20 - Winlogon Notify: Unimodem - C:\WINDOWS\system32\q868liju18o8.dll (file missing)
O23 - Service: Sophos AutoUpdate Service (ActiveLinkClient) - Unknown owner -

C:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe

Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation -

C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation -

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation -

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin -

C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation -

C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame

Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation -

C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. -

C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation -

C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -

C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation -

C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame

Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame

Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH -

C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
Seitenanfang Seitenende
07.03.2006, 13:09
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 oerens

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

L2mfix --> Arbeite Option 2 ab und poste nach Neustart + scan den scanreport
http://virus-protect.org/l2mfix.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) ...wenn kein Platz mehr im Thread ist, poste es als Anhang (siehe unten)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.03.2006, 23:17
oerens
...neu hier

Themenstarter

Beiträge: 6
#3 Sabina,

erst einmal vielen Dank für die schnelle Antwort.

Habe die meiste Zeit damit verbracht, Sophos zu deinstallieren. Prob war, dass es das System massiv verlangsamt hat und gegen alle Versuche immun war. - Am Ende ging es doch, indem ich zunächst den Update-Dienst deinstallierte und danach das eigentliche Proggie. Danach lief der Rechner wieder stabiler, und auch der IE fand seinen Weg wieder ins Netz (das war zuvor nämlich nicht mehr möglich).

Die Popups haben aufgehört!!!

Anyway, hier kommen nun meine Logs:

Anhang: Logs.txt
Dieser Beitrag wurde am 07.03.2006 um 23:25 Uhr von oerens editiert.
Seitenanfang Seitenende
08.03.2006, 00:13
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 oerens

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\n0n60a5sed.dll (file missing)
O20 - Winlogon Notify: Unimodem - C:\WINDOWS\system32\q868liju18o8.dll (file missing)

PC neustarten

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ......

C:\WINDOWS\system32\g.bat
C:\WINDOWS\system32\lo2.txtt
C:\WINDOWS\winsysupd121.dat
C:\WINDOWS\gimmygames.dat
C:\data

PC neustarten

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

Spysweeper--> poste den scanreport
http://virus-protect.org/spysweeper.html

---------------------------------------------------------------------

wenn dann alles sauber ist:

Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

dann wieder aktivieren ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.03.2006, 21:06
oerens
...neu hier

Themenstarter

Beiträge: 6
#5 Hi Sabina,

leider nicht alles sauber, Spy Sweeper liefert folgendes:

--------------------

Spy Sweeper will provide you with detailed information about the operations being performed in this area.
Updating spyware definitions from Webroot.com
Please wait... This may take a few minutes...
BHO Shield: found: i-nav_4_2_1.dll-- BHO installation denied at user request
Your spyware definitions have been updated.
You are now protected against 127128 known traces.

To ensure proper removal of spyware, adware and other unwanted items, be sure to close any programs that are open.
Your Sweep Options indicate the following will be swept:
Drives: C: D: E: H: I:
Also sweeping: Memory, Cookies, Registry
Adware found: command
Spy Cookie found: falkag cookie
Trojan Horse found: trojan-downloader-daily-weather
Full Sweep has completed. Elapsed time 00:32:37
Traces Found: 19

--------------------


********
20:26: | Start of Session, Mittwoch, 8. März 2006 |
20:26: Spy Sweeper started
20:26: Sweep initiated using definitions version 629
20:26: Starting Memory Sweep
20:31: Memory Sweep Complete, Elapsed Time: 00:04:14
20:31: Starting Registry Sweep
20:31: Found Adware: command
20:31: HKLM\system\currentcontrolset\enum\root\legacy_cmdservice\0000\ (6 subtraces) (ID = 1016064)
20:31: HKLM\system\currentcontrolset\enum\root\legacy_cmdservice\ (8 subtraces) (ID = 1016072)
20:32: Registry Sweep Complete, Elapsed Time:00:01:12
20:32: Starting Cookie Sweep
20:32: Found Spy Cookie: falkag cookie
20:32: oliver@as-eu.falkag[1].txt (ID = 2650)
20:32: oliver@sel.as-eu.falkag[2].txt (ID = 2650)
20:32: Cookie Sweep Complete, Elapsed Time: 00:00:00
20:32: Starting File Sweep
20:32: Found Trojan Horse: trojan-downloader-daily-weather
20:32: c:\programme\daily weather forecast (ID = -2147474081)
20:57: Warning: Failed to open file "c:\dokumente und einstellungen\oliver\desktop\hoster.zip:zone.identifier". Das System kann die angegebene Datei nicht finden
20:59: File Sweep Complete, Elapsed Time: 00:26:54
20:59: Full Sweep has completed. Elapsed time 00:32:37
20:59: Traces Found: 19
********
20:24: | Start of Session, Mittwoch, 8. März 2006 |
20:24: Spy Sweeper started
20:26: BHO Shield: found: i-nav_4_2_1.dll-- BHO installation denied at user request
20:26: Your spyware definitions have been updated.
20:26: | End of Session, Mittwoch, 8. März 2006 |

--------------------

Soll ich Spy Sweeper die Bedrohungen entfernen lassen?

Liebe Grüße und besten Dank
oerens
Seitenanfang Seitenende
08.03.2006, 23:26
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 oerens

1.
loesche
c:\programme\daily weather forecast

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService]
PC neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken


3.
scanne mit ewido und poste den scanbericht ;)
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.03.2006, 20:17
oerens
...neu hier

Themenstarter

Beiträge: 6
#7 Hi sabina,

habe alles so erledigt, allerdings den ewido-scan zunächst im Standard-Modus begonnen. Dann erkannt, dass er abgesichert laufen sollte und abgebrochen. Bis dahin waren drei Infektionen gesäubert worden. Der Scan im abgesicherten Modus war dann sauber.

Hier noch einmal ein aktuelles Hijackthis Log:

Logfile of HijackThis v1.99.1
Scan saved at 18:56:26, on 09.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\CounterSpy\Thread.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\CounterSpy\SunProtectionServer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\GhostTyperXML\GhostTyp.exe
D:\Eigene Dateien\Programme\ISDN Monitor\Isdnmo32.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\ewido anti-malware\SecuritySuite.exe
C:\Programme\Messenger\msmsgs.exe
D:\Eigene Dateien\Downloads\Hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] "C:\Programme\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: ISDN Monitor.lnk = D:\Eigene Dateien\Programme\ISDN Monitor\Isdnmo32.exe
O4 - Global Startup: GhostTyperXML.lnk = C:\Programme\GhostTyperXML\GhostTyp.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124344750843
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1124344735187
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/SymAData.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{26AB1BC3-74E0-46E7-98A1-515FB02947C1}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{26AB1BC3-74E0-46E7-98A1-515FB02947C1}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: LBTServ - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\lbtserv.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe



Bin ich jetzt "sauber"?
Liebe Grüße und danke für Deine Mühen
oerens
Seitenanfang Seitenende
10.03.2006, 01:15
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 oerens

fixe mit dem HijackThis (denn ist missing)

O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

PC neustarten

scanne, um ganz sicher zu gehen, mit Panda und berichte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.03.2006, 18:50
oerens
...neu hier

Themenstarter

Beiträge: 6
#9 Hallo Sabina,

der PC stürzte zwischendurch 3 Mal ab; keine Ahnung, ob das mit dem Scan zusammenhing.

--------------------
Hier der Panda-Log:

Incident Status Location

Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Oliver\Cookies\oliver@as-eu.falkag[2].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Oliver\Cookies\oliver@sel.as-eu.falkag[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Oliver\Cookies\oliver@as-eu.falkag[2].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Oliver\Cookies\oliver@sel.as-eu.falkag[1].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\WINDOWS\system32\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected D:\Eigene Dateien\Downloads\l2mfix\Process.exe
Joke:Joke/Drunk Not disinfected D:\Eigene Dateien\Sprechstunde.com\Sprechstunde\drunk.exe
--------------------

Detected Disinfected
Virus 0 0
Spyware 4 0
Hacking Tools and potentially unwanted tools 2 0
Dialers 0 0
Security Risks 0 0
Suspicious files 0 0
Jokes 1 0

--------------------

Freue mich schon auf Deine nächsten Tipps... hoffentlich haben wir's bald!
Beste Grüße
oerens
Seitenanfang Seitenende
11.03.2006, 00:45
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 oerens
1.
l2mfix --> kann du loeschen (oder behalten...fuer spaeter mal) ;)
D:\Eigene Dateien\Downloads\l2mfix\Process.exe
C:\WINDOWS\system32\Process.exe

Der Joke ist kein Problem.

2.
Es ist wieder alles sauber, allerdings solltest du noch folgendens machen:
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

3.
dann wieder das Haekchen setzen.

4.
Denk mal ueber den Browser Firefox nach
http://virus-protect.org/firefox.html
(der IE bleibt fuer die WindowsUpdates)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.03.2006, 21:49
oerens
...neu hier

Themenstarter

Beiträge: 6
#11 Hallo Sabina,

alles erledigt. System läuft nun wieder stabil und "werbefrei".

Norton Internet Security 2006 aufgespielt, nachdem Sophos, Kaspersky, Panda und McAfee allesamt Fehler produziert hatten. - Gibt es ggf. eine sinnvolle Alternative?

Ist es sinnvoll, Ewido o.ä. als Wächter zu aktivieren?

Liebe Grüße und herzlichen Dank für die tolle Unterstützung!!!
oerens
Seitenanfang Seitenende
13.03.2006, 13:18
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 oerens

1.
Ewido ist ein Trial-Proggie...nach 14 Tagen musst du es kaufen, oder deinstallieren.
Free-Variante:Windows Defender
http://virus-protect.org/ms.html

2.
Eingeschränktes Benutzerkonto
http://virus-protect.org/administrator.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »
Seite(n): 1