Erstmal hallo an alle,

ich habe folgendes Problem. Eigentlich müßte mein System sauber sein, jedoch wurde heute beim Surfen mein Browser (FF) plötzlich minimiert und es erschien eine Meldung ähnlich dieser hier (ich habe diese Meldung aus einem anderen Forum in welchem aber keine wirkliche Antwort auf dieses Problem gegeben wurde):

Warnung: Ihr System und Ihre Dateien können infiziert sein
Installieren Sie dieses Reparatur-Tool, um Ihr System zu prüfen und Risiken zu verhindern.Warnung ES KÖNNEN FEHLER BEI DER ARBEIT IHRES SYSTEMS AUFTRETEN
Dieses Reparatur-Tool scannt Ihr System nach Fehlern
Dieses Reparatur-Tool wird Ihr System nach Fehlern und beschädigten Dateien prüfen
Typischer Scan-Vorgang wird durchgeführt

Ich habe dieses Fenster dann zuerst per Klick auf die "Schliessen" Schaltfläche und nach sofortigem, nochmaligem Auftauchen dann über den Taskmanger geschlossen.

Mein System habe ich danach mit Spybot, Adaware, Hijackthis und NAV (nur C:\) scannen lassen und es wurde keine Schadsoftware ekannt.

Meine Frage: Kennt ihr diese Website (diskretter.com) bzw. wißt ihr wieso sich diese Meldung öffnet? Eine Googlesuche ergab nicht wirklich gute Treffer.

Mein OS ist Win XP, mein Browser, wie gesagt FF 2.0.0.8

Viele Grüße und vielen Dank im Voraus.

MrCult

Nein von dieser Seite habe ich nichts gehört. Aber du hast FF, das ist schon ein Vorteil

Wenn du den "Verdacht" hast dass etwas nicht stimmt kannst du gerne einen HJT Log posten.(Anleitung)

Hi Sky,

danke für deine Antwort, aber das HijackThis Log habe ich mir schon zu Gemüte geführt. Es deutet meiner Meinung nach nichts auf eine Infektion hin.
Mich würde interessieren, ob sich die Seite automatisch öffnet oder durch einen Klick auf ein Werbebanner. Ausserdem wäre interessant ob sich automatisch etwas installiert oder nur durch Bestätigen über "OK". Ich habe einen Screenshot der Meldung gefunden und poste diesen mal.

Zitat:

Zitat von mrcult

aber das HijackThis Log habe ich mir schon zu Gemüte geführt.

Poste trotzdem das Hijacklog, ohne diese Informationen können wir dir nicht helfen.

Desweiteren, nützt uns der Screenshot nicht viel, das es sich um Spyware handelt ist dir und uns auch klar.


Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

Hi,

hier das Log.


Logfile of HijackThis v1.99.1
Scan saved at 12:41:51, on 21.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
D:\Tools\VMware\VMware Server\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
D:\Tools\VMware\VMware Server\vmserverdWin32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
D:\Tools\Acronis\TrueImageServer\TrueImageMonitor.exe
D:\Tools\Acronis\TrueImageServer\TimounterMonitor.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Multimedia\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
D:\Tools\Spamihilator\spamihilator.exe
D:\Tools\LAB1.de\SMTP-Filter\smtp-filter.exe
D:\Multimedia\AudioSystem EWX 2496\EwxCpl.exe
D:\Online\Mozilla Firefox\firefox.exe
C:\PROGRA~1\HEWLET~1\AiO\HPOFFI~1\Bin\hpoavn07.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\system32\hpoipm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
D:\Online\TheBat\thebat.exe
C:\WINDOWS\system32\cmd.exe
C:\Dokumente und Einstellungen\Markus\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = SPIEGEL ONLINE - Nachrichten
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] D:\Tools\Acronis\TrueImageServer\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] D:\Tools\Acronis\TrueImageServer\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Multimedia\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "D:\Multimedia\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "D:\Tools\TomTom HOME\HOMERunner.exe" -s
O4 - HKCU\..\Run: [Spamihilator] "D:\Tools\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [SMTP-Filter] D:\Tools\LAB1.de\SMTP-Filter\smtp-filter.exe /AUTOSTART
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EWX 2496 ControlPanel.lnk = ?
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{622310E0-4EEB-4B15-AC08-5A95A33761D6}: NameServer = 192.168.1.20
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LANCAPI Control (LcsCapiCtl) - LANCOM Systems GmbH - C:\WINDOWS\System32\rcapi.exe
O23 - Service: NBService - Nero AG - D:\Brennen\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\Tools\VMware\VMware Server\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware Registration Service (vmserverdWin32) - VMware, Inc. - D:\Tools\VMware\VMware Server\vmserverdWin32.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

Hallo Forum,

hmmm, schade. Irgendwie tut sich in diesem Thread nichts mehr.
Ich weiß nicht ob sich jemand mein Logfile zu Gemüte geführt hat (ich sollte es ja posten, damit sich dieses jemand durchliest), meiner Meinung nach deutet bei mir, zumindest laut diesem Log, nichts auf eine Infektion bzw. eine Veränderung meines Systems hin.
Auch Spybot, Adaware und NAV haben, wie gesagt kein Ergebnis gebracht.
Sollte ich jedoch etwas übersehen haben, so würde ich mich selbstverständlich über Hinweise sehr freuen. Natürlich wäre es auch hilfreich, Berichte von anderen Betroffenen zu lesen.

Vielen Dank.

MrCult

Zitat:

Zitat von mrcult

Hallo Forum,

hmmm, schade. Irgendwie tut sich in diesem Thread nichts mehr.

Richtig, vielleicht liegt es an der nicht geposteten Auswertung von eScan?!
Hast du den eScan überhaupt schon gemacht?

Zitat:

Zitat von Sunny

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

Hi Sunny,

hmm, zuvor lag es an dem nicht geposteten Log von HJT (nichts für ungut).
Lassen wir es für den Moment also gut sein. Ich werde mein System mal selbst weiter überprüfen, danke aber allen für die Mithilfe.

Gruß, MrCult

Hi Sunny,

sorry, ich war gestern ein wenig genervt. Meine Antwort klang vielleicht ein wenig zickig, war aber nicht so gemeint.
Danke noch einmal für alle Hilfestellungen und Ratschläge.

Gruß,

MrCult

IMHO wird die seite durch ein tracking-cookie aufgerufen das irgendeinem dreisten werbeserver - von
h**p://m.de.2mdn.n*t

sagt jetzt könnte die werbung passen --