Windows Warning Message + Antivirus 2008 IE gehen nicht weg

#0
24.08.2008, 17:00
...neu hier

Beiträge: 3
#1 Hallo PC-Profis,

zunächst eine ganz dicke Entschuldigung von mir. Bin absolute PC-Volltrottelin und verstehe kaum die Fachbegriffe. Daher habe ich bestimmt hier falsch oder doppelt gepostet. Ich weiß leider nicht was mit meinem PC los ist und falls mir jemand von euch helfen könnte, danke ich euch von Herzen. Nur bitte für "ganz Dumme erklären", sonst kapiere ich es leider nicht. Ich bin ohne Virenschutz im WEB gewesen (ja ich weiß,sollte man nicht tun, aber ich bin "alt" und selten im Netz) Nun kriege ich beim Start des PCs ein Fenster, da steht "Windows Warning Message", Spyware detected, sowie darunter WIN32/Adware.Virtumonde und WIN32/PrivacyRemover.M64. Ferner blinkt alle paar Sekunden ein rotes Wappen rechts unten auf mit "You have a security problem". Beides kriege ich nicht weg (auch nicht, wenn ich im "Security Center" eingebe, dass ich keine Warnung will. Hab dann (weil ich gelesen habe das soll gut sein) Antivir (das mit rotem Regenschirm) und Spybot runtergeladen und beides scannen lassen. Folgende Meldungen kamen daraufhin an: TR/FakeScanner.F,TR/Fakealert.AAF, VBS/Agent1002,C;)okumente und EinstellungenHallo...tt121.tmp.vbs. Diese Dinge habe ich erst in Quarantäne getan und dann gelöscht (stand in der Hilfe) Doch trotzdem kommt immer wieder so ein TR/Fake..dingsbums (jedesmal andere Bezeichnung) wieder, dann steht da meist schon in Antivir vorgegeben "Zugriff verweigern" ,was ich auch mache. Habe null Ahnung ob nun gelöscht wurde oder ob noch was auf dem PC ist, warum die Warnung nicht weggeht oder warum das immer wieder kommt. Auch der Internetexplorer spinnt, der bringt mich immer auf eine Seite, wo ich diesen Antivirus2008 runterladen soll (hab ich aber nicht gemacht) Ich gehe mit AOL ohne den Internetexplorer zu nutzen ins Internet, das klappt auch, aber das mit dem Internetexplorer hab ich bemerkt, da der aufgeht, sobald ich dieses rote, kleine Wappen mit der Warnung anklicke. Meine Desktopmotivbilder sind übrigens auch weg, alles ist weiß, gibt auch keine mehr. Irgendwo habe ich dann bei euch im Forum gelesen, das es "Hijackthis" gibt. Das hab ich runtergeladen, gescannt, verstehe aber nur Bahnhof. Das Protokoll (oder wie heißt das) hab ich, aber kann ich nicht hier rein kopieren. Irgendwie geht das bei mir nicht (sonst mit Maustaste anklicken, dann wird es normalerweise blau und "kopieren" steht da, dann einfügen, klappt sonst immer)
Wie gesagt, bin leider nicht fit in diesen Dingen, müsstet ihr mir auch erklären, wie ich euch das senden/kopieren kann. Ganz, ganz lieben Dank für jede Hilfe und Geduld mit mir, die hoffentlich trotzdem kommt :-) und Entschuldigung für das lange, laienhafte erklären.

HURRA....hab nur eine Stunde später es alleine geschafft. Dank eures genialen Forums und den tollen Tips, habe ich mir Malewarebytes runtergeladen. Das hat ALLES beseitigt, fasse mein Glück noch gar nicht. Alles ist weg (die Warnung, das rote Wappen-Symbol, Desktop ist wieder blau) Bin begeistert und wünsche diesem Forum und den tollen Helfern mit den genialen Tips noch alles, alles Gute.....
Dieser Beitrag wurde am 24.08.2008 um 18:06 Uhr von Nixkönner editiert.
Seitenanfang Seitenende
24.08.2008, 18:32
Member

Beiträge: 1132
#2 Hallo Nixkönner,

Malwarebyte alleine genügt nicht. Da versteckt sich sicher noch mehr in Deinem System.
Bitte arbeite noch alles ab, was hier beschrieben ist http://board.protecus.de/t23188.htm

Das HijackThis-Log (so heißt das) kannst Du folgendermaßen hierher posten: öffne das Log mit Doppelklick > drücke "Strg" und dann "A" (Strg + A), dann wird der gesamte Text markiert > drücke Strg + C > kopiere den Inhalt des Zwischenspeichers in Deinen Beitrag hier mit Strg + V

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
24.08.2008, 20:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 Hallo Nixkönner
kopiere dann das log vom HijackThis hier, ebenfalls den Scanreport von Malwarebytes + Combofix
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.08.2008, 08:24
...neu hier

Themenstarter

Beiträge: 3
#4 Liebe Sabina und Heron

vielen Dank für eure Hilfe. Ich hoffe, ich hab es richtig kopiert. Das ist das Log nach dem "analysieren" (gottseidank kann ich gut Englisch). Für mich nur Bahnhof, für euch aussagekräftig. Habe keine weiteren Störungen auf dem PC, aber vielleicht findet ihr ja noch etwas. Lieben Dank und Gruß.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:18:49, on 25.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\AOL\1216396911\ee\AOLSoftware.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AOL 9.0 VR\waol.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\AOL 9.0 VR\shellmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Gemeinsame Dateien\AOL\Topspeed\3.0\aoltpsd3.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R3 - URLSearchHook: AOLTBSearch Class - {EA756889-2338-43DB-8F07-D1CA6FB9C90D} - C:\Programme\AOL\AOL Toolbar 5.0\aoltb.dll
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Programme\AOL\AOL Toolbar 5.0\aoltb.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 5.0\aoltb.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1216396911\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VR\AOL.EXE" -b
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &AOL Toolbar-Suche - c:\programme\aol\aol toolbar 5.0\resources\de-de\local\search.html
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Programme\AOL\AOL Toolbar 5.0\aoltb.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://games.bigfishgames.com/de_luxoramunrisingeu/online/mjolauncher.cab
O16 - DPF: {BAE1D8DF-0B35-47E3-A1E7-EEB3FF2ECD19} (CPlayFirstddfotgControl Object) - http://games.bigfishgames.com/de_dinerdashfloontheg/online/ddfotg.1.0.0.33.cab
O16 - DPF: {DC75FEF6-165D-4D25-A518-C8C4BDA7BAA6} (CPlayFirstDinerDashControl Object) - http://icq.oberon-media.com/online/online2/diner_dash/DinerDash.1.0.0.80.cab
O16 - DPF: {DFD832B0-5D0A-4A31-BB56-1CB8A9AF36E2} (CPlayFirstdreamControl Object) - http://games.bigfishgames.com/de_dream-chronicles/online/dream.1.0.0.17_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{74C4A49F-EC8A-4729-97E3-B383E00CFAE2}: NameServer = 213.191.92.86 62.109.123.7
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 7072 bytes

HIER DAS ERGEBNIS NACH (!) DEM ENTFERNEN DER TROJANER ETC.=

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1081
Windows 5.1.2600 Service Pack 2

18:55:57 24.08.2008
mbam-log-08-24-2008 (18-55-57).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 35702
Laufzeit: 14 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Dieser Beitrag wurde am 25.08.2008 um 08:28 Uhr von Nixkönner editiert.
Seitenanfang Seitenende
25.08.2008, 10:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Hallo Nixkönner

mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
keine anderen !!
und wähle fix checked. + starte den Rechner neu.

Zitat

R3 - URLSearchHook: (no name) - - (no file)
BEISPIEL:



««
alles i.o. ;)
wenn es noch Probleme gibt - melde dich.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.08.2008, 16:49
...neu hier

Beiträge: 3
#6 Hallo Sabina,

ich bin grad auf eure Seite gestoßen, ich habe genau das gleiche Problem wie Nixkönner mit der "windows warning message!". Ich werde jetzt alle angegeben unter http://board.protecus.de/t23188.htm Schritte abarbeiten und würde mich dann hier an dieser Stelle nochmal mit dem log vom HijackThis und den Scanreport von Malwarebytes + Combofix melden. Ich hoffe das ist in Ordnung, ansonsten kann ich gerne auch einen neuen Thread im Forum erstellen.

Danke schon mal vielmals für Eure Hilfe

Gruß

Alex
Seitenanfang Seitenende
25.08.2008, 17:35
...neu hier

Themenstarter

Beiträge: 3
#7

Zitat

Sabina postete
Hallo Nixkönner

mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
keine anderen !!
und wähle fix checked. + starte den Rechner neu.

Zitat

R3 - URLSearchHook: (no name) - - (no file)
BEISPIEL:
http://virus-protect.org/artikel/bilder/h4.png


««
alles i.o. ;)


wenn es noch Probleme gibt - melde dich.
Vielen, vielen Dank Sabina

alles ist nun bestens bei mir und ich muss ein ganz dickes Lob an dich/euch und das Forum hier loswerden. Es ist WAHNSINN, wie schnell ihr helft/antwortet und wie competent ihr Lösungen anbietet. Und das alles auch noch kostenlos. (Wo gibts das heute noch?) Werde jedem das Forum weiterempfehlen (oje, noch mehr Arbeit für euch :-)) und sende euch allen alles,alles Gute und VIELEN DANK.
Seitenanfang Seitenende
25.08.2008, 18:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo AlexK.

klicke mit rechter Mautaste auf WININIT.INI - öffnen mit Texteditor, kopiere hier, was erscheint
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.08.2008, 18:07
...neu hier

Beiträge: 3
#9 Hallo Sabina, meinst Du das?

[Rename]
NUL=C:\DOKUME~1\ALEXKO~1\LOKALE~1\Temp\VIES6D09
Dieser Beitrag wurde am 25.08.2008 um 18:13 Uhr von Alex K editiert.
Seitenanfang Seitenende
25.08.2008, 23:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Hallo Alex K

ja, das meinte ich ... lösche die WININIT.INI (lasse sie dann noch einige Zeit im Papierkorb)- wenn es keine Probleme mit Anwendungen gibt - leere den PK.
Ansonsten finde ich nix weiter in den Logs.
Gibt es noch Probleme ???
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.08.2008, 00:18
...neu hier

Beiträge: 3
#11 guten abend sabina,

bisher gibts keine weiteren probleme, ich danke dir vielmals!

gruß

alex
Seitenanfang Seitenende
26.08.2008, 15:42
...neu hier

Beiträge: 2
#12 Hallo !
Ich habe seit gestern auch so ein änliches Problem und hoffe das ihr auch mir helfen könnt.
Habe hier mal ein Scann von meinen Programen gemacht (mit Hijack).
Bekomme zwar nicht mehr diese Windows Warnungen ,allerdings funktioniert mein Internet nicht richtig.Ausser dem kann ich nicht in euer Forum posten( macht ein Freund von mir)
Hier mal der Scan:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:21:22, on 26.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Power Translator 11\LogoMedia TranslateDotNet Server.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe
C:\Programme\Logitech\Profiler\lwemon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\Go\CTCMSGo.exe
C:\Programme\Timerle\Timerle.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Alwil Software\Avast4\ashSimpl.exe
I:\Programme\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versatel.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programme\Power Translator 11\Applications\LEC IE Translation Extension.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Programme\Creative\MediaSource\Go\CTCMSGo.exe /SCB
O4 - HKCU\..\Run: [Timerle] "C:\Programme\Timerle\Timerle.exe" -q
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with &Babylon - res://C:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programme\Power Translator 11\LogoMedia TranslateDotNet Server.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 11597 bytes Im voraus mal Danke für eure Hilfe

Gruss para
Dieser Beitrag wurde am 26.08.2008 um 15:47 Uhr von paraform editiert.
Seitenanfang Seitenende
26.08.2008, 16:07
Member

Beiträge: 325
#13 Hallo parafiorm !

Mit Hijackthis fixen:
Do a System Scan only--Häkchen vor die genannten Einträge setzen und fix Checked Clicken.

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
R3 - URLSearchHook: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
danach PC neu hochfahren !!!

Wende CCleaner an um Deine Temp-Dateien zu löschen
CCleaner:
http://www.ccleaner.de/?protecus.de


Lade Combofix (evtl.Warnmeldungen des Virenprogramms ignorieren/akzeptieren)
Combofix:
http://virus-protect.org/artikel/tools/combofix.html


Scanne damit und poste dessen Logfile und anschließend ein neues Hijacktthis -Log.
Berichte vom "Zwischenergebnis"!!

Du erhältst weitere Anweisungen ob da noch etwas manuell raus muß!!
Seitenanfang Seitenende
26.08.2008, 16:44
...neu hier

Beiträge: 2
#14 Ich versuche das Comofix zu instalieren .Habe auch alles gemacht aber dann kommt die Meldung Rootkit! Combofix has detected the presence off Rootkid activity and needs to reboot the Maschine.
Dann macht er neutstart und nix Pasiert.Was mache ich falsch?
Gruss Para
Alles andere habe ich vorher gemacht, wie du gesagt hast
Seitenanfang Seitenende
26.08.2008, 17:02
Member

Beiträge: 325
#15 Ein Rootkit- auch das noch!
Dann versuche es indem Du Combofix umbenennst (tarnst).
aus Combofix.exe wird "Sauber.com". Versuche es dann so auszuführen.(oder meinst Du dass die Meldung von Combofix selber kommt?) -Vllt. hat Sabina da einen besseren Tip ??
Demnach sind wohl Deine Virenscanner auch ausgeknipst worden.... ;)
Dieser Beitrag wurde am 26.08.2008 um 17:08 Uhr von Provisitor editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: