"privacy_danger" erweist sich als sehr zäh, bin verzweifelt

#0
03.11.2007, 13:23
...neu hier

Beiträge: 4
#1 Hallo!
Ich weiß, dass es zu diesem Problem bereits mehrere Themen gab. (z.B. http://board.protecus.de/t30098.htm)
Aber meistens waren die Antworten ziemlich speziell, zum Beispiel wollte ich oben genannten Thread befolgen, doch es wurde auf .dll-Dateien verwiesen, die ich nicht gefunden habe, bzw. die sich gar nicht in besagtem Ordner befanden.

Nun, also mein Problem ist, dass sich der Desktophintergrund selbstständig rot verfärbt inklusive dem allseits beliebtem "Your privacy is in danger" und etlicher IE-PopUps.
Ich habe bereits einige Leute gefragt, die einen nannten mir eine endlose Liste von Programmen, die aber das Problem nicht fanden und außerdem meinen bobputer endlos verlangsamten. Außerdem habe ich bereits SmitFraudFix.exe wie dort angegeben nach dem Entfernen temporärer Dateien im abgesicherten Modus ausgeführt. Tatsächlich wurde privacy_danger entfernt, allerdings nur für einige Stunden. Danach kam es auf wundersame Weise wieder zurück. (Systemwiederherstellung habe ich deaktiviert)

Bei den ersten Befallen von diesem Zeug hatte ich noch die berüchtigten drei Verknüpfungen auf dem Desktop, aber die sind komischerweise dauerhaft verschwunden, im Gegensatz zum roten Desktop, der ja alle paar Stunden wieder seine Runden dreht, bis ich SmitFraudFix ausführe.

Hier mein HijackThis-Logfile: (jetzt mit der neueren Version)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:57:16, on 03.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
D:\AVG Anti-Spyware 7.5\guard.exe
W:\Kaspersky Internet Security 6.0 Professional Edition\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
W:\Kaspersky Internet Security 6.0 Professional Edition\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\HijackThis\HijackThis.exe

O2 - BHO: (no name) - {480598DD-AE28-48B7-82F7-6ADDA1AA6B66} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {561B1A4C-0CE2-B080-9F75-026EF4F903B5} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: (no name) - {C58A4487-4C2E-45E4-9E3A-52B3A23CC396} - (no file)
O4 - HKLM\..\Run: [kis] "W:\Kaspersky Internet Security 6.0 Professional Edition\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - W:\Kaspersky Internet Security 6.0 Professional Edition\\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - W:\Kaspersky Internet Security 6.0 Professional Edition\scieplugin.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - W:\ICQPRO~1\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - W:\ICQPRO~1\ICQ.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161881084484
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1163797670750
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0E332F1-DED0-4F6C-8FC6-79B3D0347539}: NameServer = 192.168.23.1
O20 - AppInit_DLLs: W:\KASPER~1.0PR\adialhk.dll
O21 - SSODL: hostctrl - {4BAE1C74-AB1A-403B-906A-797386D223C1} - C:\WINDOWS\hostctrl.dll
O21 - SSODL: hstsys - {590B971B-B347-43A1-84D2-793CDAC19C25} - (no file)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - W:\Kaspersky Internet Security 6.0 Professional Edition\avp.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4752 bytes

ComboFix-Log:

ComboFix 07-11-01.1 - Felix 2007-11-03 16:03:46.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.395 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Felix\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\hostctrl.dll
C:\WINDOWS\rs.txt
C:\WINDOWS\search_res.txt
C:\WINDOWS\system32\media
C:\WINDOWS\system32\media\AvidRender.wav

.
((((((((((((((((((((((( Dateien erstellt von 2007-10-03 bis 2007-11-03 ))))))))))))))))))))))))))))))
.

2007-11-03 16:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-03 13:23 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-11-03 13:23 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-11-03 13:23 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-11-03 13:23 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-11-03 13:23 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-10-30 17:50 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-10-30 16:39 674,600 --a------ C:\WINDOWS\system32\pbsvc.exe
2007-10-30 16:38 22,328 --a------ C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\PnkBstrK.sys
2007-10-28 20:03 <DIR> d-------- C:\Dokumente und Einstellungen\Felix\dwhelper
2007-10-28 17:57 <DIR> d-------- C:\Programme\Spyware Terminator
2007-10-28 17:51 <DIR> d-------- C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Grisoft
2007-10-28 17:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2007-10-28 17:51 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-10-24 12:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-10-21 20:44 <DIR> d-------- C:\Programme\Enigma Software Group
2007-10-21 10:18 518 --a------ C:\WINDOWS\system32\tmp.reg
2007-10-21 10:12 <DIR> d-------- C:\WINDOWS\pss
2007-10-20 18:36 <DIR> d-------- C:\Programme\gvcsfqqp
2007-10-11 16:01 582,656 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-10-04 19:20 <DIR> d-------- C:\Programme\Ubi Soft

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-03 15:09 26,046,752 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-11-03 15:08 1,237,280 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2007-11-03 15:06 357,980 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-11-03 15:06 124,328 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-11-02 14:27 --------- d-----w C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\OpenOffice.org2
2007-10-22 18:11 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-21 13:50 --------- d-----w C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\A Note
2007-10-01 20:04 --------- d-----w C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\teamspeak2
2007-09-29 11:32 --------- d-----w C:\Programme\Gemeinsame Dateien\SWF Studio
2007-09-28 21:02 --------- d-----w C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Glory of the Roman Empire
2007-09-26 14:19 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2007-09-26 14:19 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2007-09-26 14:19 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll
2007-09-22 22:10 --------- d-----w C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\aborange
2007-09-22 09:47 --------- d-----w C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\GetRightToGo
2007-09-16 19:22 --------- d-----w C:\Programme\Ubisoft
2007-09-13 14:02 --------- d-----w C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\vlc
2007-09-13 13:18 --------- d-----w C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\iPodder
2007-09-07 13:13 --------- d-----w C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\gtk-2.0
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2006-11-16 21:29 453 ----a-w C:\Programme\INSTALL.LOG
2005-05-13 16:12:00 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-10-24 10:13:58 66,560 --sha-r C:\WINDOWS\MOTA113.exe
2005-10-13 20:27:00 422,400 --sha-r C:\WINDOWS\x2.64.exe
2005-10-07 18:14:52 308,224 --sha-r C:\WINDOWS\system32\avisynth.dll
2005-07-14 11:31:20 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
2005-06-26 14:32:28 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 21:37:42 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
2004-01-24 23:00:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2006-04-27 09:24:24 2,945,024 --sha-r C:\WINDOWS\system32\Smab.dll
2005-02-28 12:16:22 240,128 --sha-r C:\WINDOWS\system32\x.264.exe
2004-01-24 23:00:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{561B1A4C-0CE2-B080-9F75-026EF4F903B5}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"kis"="W:\Kaspersky Internet Security 6.0 Professional Edition\avp.exe" [2006-03-24 19:09]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-10 02:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57]

C:\Dokumente und Einstellungen\Internet\Startmenü\Programme\Autostart\
OpenOffice.org 2.0.lnk - D:\OpenOffice.org 2.0\program\quickstart.exe [2006-07-14 20:26:34]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=W:\KASPER~1.0PR\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
D:\Spybot - Search & Destroy\TeaTimer.exe

R0 hotcore2;hotcore2;C:\WINDOWS\system32\drivers\hotcore2.sys
R0 snapman;Acronis Snapshots Manager;C:\WINDOWS\system32\DRIVERS\snapman.sys
R0 timounter;Acronis TrueImage Backup Archive Explorer;C:\WINDOWS\system32\DRIVERS\timntr.sys
R1 SSHDRV86;SSHDRV86;\??\C:\WINDOWS\system32\drivers\SSHDRV86.sys
R2 tifsfilter;Acronis TrueImage FS Filter;C:\WINDOWS\system32\DRIVERS\tifsfilt.sys
S1 lusbaudio;Logitech USB-Mikrofon;C:\WINDOWS\system32\drivers\OVSound2.sys
S3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys
S3 QCEmerald;Logitech QuickCam Web;C:\WINDOWS\system32\DRIVERS\OVCE.sys
S3 RushTopDevice;RushTopDevice;\??\C:\Programme\MSI\Core Center\RushTop.sys

.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-03 16:09:29
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-03 16:10:32 - machine was rebooted
.
--- E O F ---

Datfindbat-Logs:
(Grauenarbeit, das alles auf 3 Monate zu kürzen. ;-))

System32.txt:

Datenträger in Laufwerk C: ist System
Volumeseriennummer: 84F4-C120

Verzeichnis von C:\WINDOWS\system32

03.11.2007 16:12 58.732 perfc009.dat
03.11.2007 16:12 392.432 perfh009.dat
03.11.2007 16:12 70.784 perfc007.dat
03.11.2007 16:12 405.448 perfh007.dat
03.11.2007 16:12 938.224 PerfStringBackup.INI
03.11.2007 16:09 43.573 nvapps.xml
03.11.2007 16:09 12.540 wpa.dbl
03.11.2007 13:25 0 tmp.txt
03.11.2007 13:25 518 tmp.reg
30.10.2007 16:39 674.600 pbsvc.exe
21.10.2007 10:29 12.540 wpa.bak
16.10.2007 19:24 118.952 FNTCACHE.DAT
03.10.2007 23:36 25.600 WS2Fix.exe
28.09.2007 06:19 18.089.592 MRT.exe
26.09.2007 15:19 21.840 SIntfNT.dll
26.09.2007 15:19 17.212 SIntf32.dll
26.09.2007 15:19 12.067 SIntf16.dll
05.09.2007 23:22 289.144 VCCLSID.exe
29.08.2007 14:56 249.852 TZLog.log
21.08.2007 07:16 683.520 inetcomm.dll
20.08.2007 10:55 1.152.000 urlmon.dll
20.08.2007 10:55 824.832 wininet.dll
20.08.2007 10:55 671.232 mstime.dll
20.08.2007 10:55 232.960 webcheck.dll
20.08.2007 10:55 102.400 occache.dll
20.08.2007 10:55 105.984 url.dll
20.08.2007 10:55 3.584.512 mshtml.dll
20.08.2007 10:55 193.024 msrating.dll
20.08.2007 10:55 477.696 mshtmled.dll
20.08.2007 10:55 459.264 msfeeds.dll
20.08.2007 10:55 52.224 msfeedsbs.dll
20.08.2007 10:55 27.648 jsproxy.dll
20.08.2007 10:55 1.824.768 inetcpl.cpl
20.08.2007 10:55 44.544 iernonce.dll
20.08.2007 10:55 267.776 iertutil.dll
20.08.2007 10:55 6.058.496 ieframe.dll
20.08.2007 10:55 383.488 ieapfltr.dll
20.08.2007 10:55 384.512 iedkcs32.dll
20.08.2007 10:55 230.400 ieaksie.dll
20.08.2007 10:55 153.088 ieakeng.dll
20.08.2007 10:55 63.488 icardie.dll
20.08.2007 10:55 214.528 dxtrans.dll
20.08.2007 10:55 132.608 extmgr.dll
20.08.2007 10:55 124.928 advpack.dll
17.08.2007 11:19 63.488 ie4uinit.exe
17.08.2007 11:19 13.824 ieudinit.exe






2164 Datei(en) 495.688.835 Bytes
0 Verzeichnis(se), 2.446.577.664 Bytes frei

Sys.txt:
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 84F4-C120

Verzeichnis von C:\

03.11.2007 16:23 0 sys.txt
03.11.2007 16:22 432 down.txt
03.11.2007 16:21 1.673 tmp.txt
03.11.2007 16:21 4.302 system.txt
03.11.2007 16:21 611 systemtemp.txt
03.11.2007 16:21 105.801 system32.txt
03.11.2007 16:10 7.098 ComboFix.txt
03.11.2007 16:07 804.835.328 hiberfil.sys
03.11.2007 16:07 1.207.959.552 pagefile.sys
03.11.2007 13:27 1.784 rapport.txt
30.10.2007 16:25 211 boot.ini
28.10.2007 12:05 0 AILog.txt
05.09.2007 15:02 0 asoutput.log

22 Datei(en) 2.013.226.036 Bytes
0 Verzeichnis(se), 2.445.848.576 Bytes frei

System.txt:
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 84F4-C120

Verzeichnis von C:\WINDOWS

03.11.2007 16:07 1.130.288 WindowsUpdate.log
03.11.2007 16:07 159 wiadebug.log
03.11.2007 16:07 50 wiaservc.log
03.11.2007 16:07 2.048 bootstat.dat
03.11.2007 16:06 32.638 SchedLgU.Txt
30.10.2007 16:44 140 wininit.ini
30.10.2007 16:25 261 SYSTEM.INI
30.10.2007 16:25 663 win.ini
29.10.2007 18:56 136.192 catchme.exe
23.10.2007 21:27 360 FA123.INI
16.10.2007 14:31 274 FXIWIN.INI
14.09.2007 13:29 4.096 d3dx.dat
23.08.2007 18:34 1.740.721 _detmp.1

83 Datei(en) 19.465.005 Bytes
0 Verzeichnis(se), 2.446.131.200 Bytes frei

Systemtemp.txt:
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 84F4-C120

Verzeichnis von C:\DOKUME~1\Felix\LOKALE~1\Temp

03.11.2007 16:21 0 BIT50.tmp
03.11.2007 16:21 0 BIT1F.tmp
03.11.2007 16:21 0 BIT9D.tmp
03.11.2007 16:20 0 BITA3.tmp
03.11.2007 16:20 0 BIT1.tmp
03.11.2007 16:20 0 BIT42.tmp
03.11.2007 16:20 0 BIT91.tmp
03.11.2007 16:20 0 BIT47.tmp
8 Datei(en) 0 Bytes
0 Verzeichnis(se), 2.446.147.584 Bytes frei

Tmp.txt:
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 84F4-C120

Verzeichnis von C:\WINDOWS\Temp

03.11.2007 16:20 8.192 cch~aa7edbd1.htp
03.11.2007 16:20 8.192 cch~aa7e95fd.htp
03.11.2007 16:20 8.192 cch~aa7e8ec4.htp
03.11.2007 16:20 8.192 cch~aa7ee31f.htp
03.11.2007 16:20 8.192 cch~aa7d1ad6.htp
03.11.2007 16:20 8.192 cch~aa7d44f1.htp
03.11.2007 16:20 8.192 cch~aa7d3d97.htp
03.11.2007 16:20 8.192 cch~aa7d32cf.htp
03.11.2007 16:20 8.192 cch~aa7d2b14.htp
03.11.2007 16:20 8.192 cch~aa7d5cf8.htp
03.11.2007 16:20 8.192 cch~aa7d64f5.htp
03.11.2007 16:20 8.192 cch~aa7d1362.htp
03.11.2007 16:20 8.192 cch~aa7a3a66.htp
03.11.2007 16:20 8.192 cch~aa7a41f8.htp
03.11.2007 16:20 8.192 cch~aa4ce37b.htp
03.11.2007 16:20 8.192 cch~aa4cdc24.htp
03.11.2007 16:20 8.192 cch~a87ba2c8.htp
03.11.2007 16:20 8.192 cch~a87baa0f.htp
03.11.2007 16:20 8.192 cch~a86a4613.htp
03.11.2007 16:20 8.192 cch~a86a4d54.htp
03.11.2007 16:20 8.192 cch~a852533d.htp
03.11.2007 16:20 8.192 cch~a8524c2b.htp
03.11.2007 16:20 8.192 cch~a81b4ef3.htp
03.11.2007 16:20 8.192 cch~a81b942b.htp
03.11.2007 16:20 8.192 cch~a8151a27.htp
03.11.2007 16:20 8.192 cch~a8152120.htp
03.11.2007 16:07 16.384 ~DFE625.tmp
27 Datei(en) 229.376 Bytes
0 Verzeichnis(se), 2.446.057.472 Bytes frei

Down.txt:
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 84F4-C120

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.06.2007 11:21 5.021 swflash.inf

4 Datei(en) 5.670 Bytes
0 Verzeichnis(se), 2.445.869.056 Bytes frei




- der_otze
Dieser Beitrag wurde am 03.11.2007 um 16:28 Uhr von der_otze editiert.
Seitenanfang Seitenende
03.11.2007, 15:36
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Hier faengt es an http://board.protecus.de/t23188.htm
__________
MfG Argus
Seitenanfang Seitenende
03.11.2007, 16:29
...neu hier

Themenstarter

Beiträge: 4
#3 Ist der Post so in Ordnung? Oder fehlen noch wichtige Angaben?
Seitenanfang Seitenende
04.11.2007, 08:58
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Entferne auf C:\ Qoobox-->Papierkorb leeren

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {480598DD-AE28-48B7-82F7-6ADDA1AA6B66} - (no file)
O2 - BHO: (no name) - {561B1A4C-0CE2-B080-9F75-026EF4F903B5} - (no file)
O3 - Toolbar: (no name) - {C58A4487-4C2E-45E4-9E3A-52B3A23CC396} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - W:\ICQPRO~1\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - W:\ICQPRO~1\ICQ.exe (file missing)
O21 - SSODL: hostctrl - {4BAE1C74-AB1A-403B-906A-797386D223C1} - C:\WINDOWS\hostctrl.dll
O21 - SSODL: hstsys - {590B971B-B347-43A1-84D2-793CDAC19C25} - (no file)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

RVAXO
Download: RVAXO by Smeenk,zum Desktop
Danach doppelklicken
Öffne die Datei RVAXO und doppelklick “RVAXO.cmd”
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Dein Rechner wird neu gestartet,wenn nicht
Rechner neu starten und nochmals “RVAXO.cmd” doppelklicken
Poste nachher den logfile C:\ RVAXO-results.login dein folgender Bericht
zusammen mit ein log von HijackThis
__________
MfG Argus
Seitenanfang Seitenende
04.11.2007, 12:54
...neu hier

Themenstarter

Beiträge: 4
#5 Papierkorb geleert <- klappte gut

Bei Hijack This habe ich diese beiden nicht mehr gefunden, wohin könnten die gegangen sein? (Die anderen 5 sind aber ohne Probleme über den Jordan gegangen.)


O2 - BHO: (no name) - {480598DD-AE28-48B7-82F7-6ADDA1AA6B66} - (no file)
O21 - SSODL: hostctrl - {4BAE1C74-AB1A-403B-906A-797386D223C1} - C:\WINDOWS\hostctrl.dll

RVAXO:
Habe es auf den Desktop geladen, dann Doppelklick. Es kam der Winzip-Self-Extractor, wo ich dann einfach auf "Unzip" geklickt habe. Es erschien ein neuer Ordner auf dem Desktop mit "Rvaxo.cmd" und nach kurzer Zeit so ein Log:

"----------------RVAXO.exe first run-------------

Files found:


Uninstallers Rogue scanners:


Folders Found:


Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------

Files found:

Folders Found:

--------------RVAXO.exe finished----------------

Irgendwas daran konnte ja daran nicht stimmen, deshalb habe ich nochmal überlegt und dann direkt unter C:\Dokumente und Einstellungen\Felix\Desktop entpackt, so dass sich auch RVACO.cmd darauf befand. Doch wieder erschein nur so ein "leerer" Log.... Aber hier schonmal der aktuelle Hijack This-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:46:40, on 04.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
D:\AVG Anti-Spyware 7.5\guard.exe
W:\Kaspersky Internet Security 6.0 Professional Edition\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
W:\Kaspersky Internet Security 6.0 Professional Edition\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Felix\Desktop\Analysetools\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [kis] "W:\Kaspersky Internet Security 6.0 Professional Edition\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - W:\Kaspersky Internet Security 6.0 Professional Edition\\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - W:\Kaspersky Internet Security 6.0 Professional Edition\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161881084484
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1163797670750
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0E332F1-DED0-4F6C-8FC6-79B3D0347539}: NameServer = 192.168.23.1
O20 - AppInit_DLLs: W:\KASPER~1.0PR\adialhk.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - W:\Kaspersky Internet Security 6.0 Professional Edition\avp.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3912 bytes
Seitenanfang Seitenende
04.11.2007, 13:20
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Tag,der_otze
Wenn man sich was im Laden etwas kauft z.b ein DVD spieler dan gibt es dazu eine Anleitung
Wir haben hier auche eine Anleitung und darin stet
1.ATF-cleaner
2.Combofix
3.Hijack This
4.Datfindbat
ComboFix is ein tool was auch Infektionen entfernt und muss also vor HJ gedreht werden
Dan sieht man im HJ logfile (no file)
Wenn hier geschrieben wird download HJ nach C:\ dann gibt es dafür ein grund
C:\ ist infiziert und nicht D:\

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Start>Ausführen tippe/kopiere da rein : Cleanmgr OK
Klicke >Weitere Optionen
Geh zu Systemwiederherstellung>klick>Bereinigung klick>Ja

Java
Dein Java software ist veraltet,
Download jre-6u3-windows-i586-p.exe
Scrolle runter nach ----> Java Runtime Environment (JRE) 6 Update 3
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf Download
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6u3-windows-i586-p.exe” zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> jre-6u3-windows-i586-p.exe
__________
MfG Argus
Seitenanfang Seitenende
06.11.2007, 14:37
...neu hier

Themenstarter

Beiträge: 4
#7 Java habe ich soeben nach deiner Anleitung hin erfolgreich erneuert.

Auch die Bereinigung der Systemwiederherstellung hat ohne Probleme geklappt.

Ich hatte zwei Hijack This Logs gepostet, zwischen ihnen war auch ein ComboFix-Log, also wenn den ersten ignoriert, ist das dann die Reihenfolge, oder nicht? Soll ich ComboFix noch einmal drüber laufen lassen?

Übrigens, seit ich heute den PC angeschaltet habe, kam direkt dauernd eine Phishing-Warnung von Kaspersky, und zwar von einer Seite namens "thenetworkcom.com"..... Das nervt schon sehr, weil nun alle 10 Sekunden dieses grässliche Zeichen ertönt (wie kratzende Fingernägel auf einer Schultafel, aua) und ich jedes Mal "verbieten" klicke bei. "Möchten Sie den Download erlauben?"
Seitenanfang Seitenende
06.11.2007, 22:13
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Entferne Combofix und download die letzte Version
ComboFix
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert,ignorieren !
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: