pop ups von Strippoker und Spyware-Info

finke · 13.12.2004, 13:56

Hallo allerseits.

Hoffe ihr könnt mir weiterhelfen:
Es öffnen sich verschiedene Pop up's vorallem einer Strippoker-Seite und eine Meldung "your computer might be at risk"!
Habe mit HJT bereits einiges versucht, und immer, wenn ich glaube alles erwischt zu haben, beginnt es von neuem.

Hier meine HJT-Log:

Logfile of HijackThis v1.98.2
Scan saved at 13:54:04, on 13.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office2000\Office\1031\OLFSNT40.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE
C:\Programme\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\WINDOWS\System32\pingnet.exe
C:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\explorer.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Rep\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office2000\Office\1031\OLFSNT40.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\Autodesk Map 5 - Deu\InstFred.ocx
O16 - DPF: {33288993-5664-11D4-8B5B-00D0B73B3518} -
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www.ibm.com/pc/support/access/sdccommon/download/IbmEgath.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\Autodesk Map 5 - Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\Autodesk Map 5 - Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\Autodesk Map 5 - Deu\AcPreview.ocx

Lutz · 13.12.2004, 14:43

Hallo finke,

lies mal bitte folgenden Beitrag und führe die genannten Schritte aus:
http://www.trojaner-board.de/showpos...7&postcount=13

finke · 13.12.2004, 15:13

Hmm...peinlich. Aber diesen PC krieg ich nicht in den abgesicherten Modus.

Windows XP Professional, Netzwerk PC, habe Administratorrecht.

F8-Taste will ich ja die ganze Zeit drücken, aber der Bildschirm zeigt nie den gewünschten Text an beim aufstarten.

???

Lutz · 13.12.2004, 15:26

Das BSI nennt hier eine alternative Methode:
http://www.bsi.bund.de/av/texte/wiederher_xp.htm

MountainKing · 13.12.2004, 15:29

Probier mal die alternative Möglichkeit über msconfig:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm

finke · 13.12.2004, 15:46

Super...
also hier die geballte Ladung:

Microsoft Windows XP [Version 5.1.2600]
C:\WINDOWS\system32
"Files found"
---------------------------------------------------------------------

Zipping files............
---------------------------------------------------------

deleting files........
---------------------------------------------------------

"Files Not Deleted"
---------------------------------------------------------------------

Checking for version 2 files..........
Files Found
------------------------------------------------------------
pingnet.exe
odcfg.exe
netcgf.dll

Zipping files............
---------------------------------------------------------

deleting files........
---------------------------------------------------------

Files Not deleted
------------------------------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Files]
"taskrun.exe"=""
"trayinfo.exe"=""
"subsys.exe"=""
"spoolsvc.exe"=""
"smlogvcc.exe"=""
"sessngr.exe"=""
"rsvxp.exe"=""
"rsn.exe"=""
"rexecs.exe"=""
"resrvc32.exe"=""
"rcip.exe"=""
"proxyconf.exe"=""
"powerconf.exe"=""
"pingnet.exe"=""
"dnsping.exe"=""
"odcfg.exe"=""
"netstart.exe"=""
"netdns.exe"=""
"getdns.exe"=""
"msswchxp.exe"=""
"msng.exe"=""
"msinfo.exe"=""
"netssl.exe"=""
"netdetect.exe"=""
"sfcver.exe"=""
"netcgf.dll"=""
"netcfg.dll"=""
"odbcfg32.dll"=""
"p2pserv.dll"=""
"clfmon.exe"=""
"netssh.exe"=""
"syspack.dll"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes]
"taskrun.exe"=""
"trayinfo.exe"=""
"subsys.exe"=""
"spoolsvc.exe"=""
"smlogvcc.exe"=""
"sessngr.exe"=""
"rsvxp.exe"=""
"rsn.exe"=""
"rexecs.exe"=""
"resrvc32.exe"=""
"rcip.exe"=""
"proxyconf.exe"=""
"powerconf.exe"=""
"pingnet.exe"=""
"dnsping.exe"=""
"odcfg.exe"=""
"netstart.exe"=""
"netdns.exe"=""
"getdns.exe"=""
"msswchxp.exe"=""
"msng.exe"=""
"msinfo.exe"=""
"netssl.exe"=""
"netdetect.exe"=""
"sfcver.exe"=""
"clfmon.exe"=""
"netssh.exe"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys]
"{98DBBF16-CA43-4c33-BE80-99E6694468A4}"=""
"{E9590744-812B-46C3-96EB-33212855927D}"=""
"Files"=""
"Ms4Hd"=""
"Processes"=""
"RegKeys"=""
"RegValues"=""
"Vendor"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues]
"clfmon.exe"=""
"netssh.exe"=""
"sessngr.exe"=""
"spoolsvc.exe"=""

-----------------------------------------------------------------

Done

und HJT-Log:

Logfile of HijackThis v1.98.2
Scan saved at 15:44:42, on 13.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office2000\Office\1031\OLFSNT40.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE
C:\Programme\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Rep\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office2000\Office\1031\OLFSNT40.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\Autodesk Map 5 - Deu\InstFred.ocx
O16 - DPF: {33288993-5664-11D4-8B5B-00D0B73B3518} -
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www.ibm.com/pc/support/acces...d/IbmEgath.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\Autodesk Map 5 - Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\Autodesk Map 5 - Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\Autodesk Map 5 - Deu\AcPreview.ocx

Lutz · 13.12.2004, 16:30

Fixe mit HijackThis noch folgendes:

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O16 - DPF: {33288993-5664-11D4-8B5B-00D0B73B3518} -

finke · 13.12.2004, 16:42

OK...Hoffe, das wars... Von mir aus, dürfte es langsam bereinigt sein.

Danke an Lutz...hoffe, du gehst heute mit dem Wissen schlafen, dass du ein Held bist!

Lutz · 13.12.2004, 20:22

Wenn wieder alles im grünen Bereich ist, kannst Du nun noch ein bisschen aufräumen. Die Dateien C:\bad.reg, C:\bad.zip und c:\log.txt kannst Du nun löschen. Außerdem sollten sich unter C:\windows\system32 folgende Dateien befinden, die ebenfalls gelöscht werden können:

1. rem.bat vom 4.12.2004 (Größe 30KB) und
2. zip.exe vom 21.12.1999 (Größe 124 KB)

TOBY2 · 04.01.2005, 14:33

Hallo Zusammen,

habe mir wie finke auch diese läßtige Meldung: "Your Computer might bi at risk" eingefangen. Ausserdem versucht sich mein Rechner permanent ins Internet einzuwählen.
Bin relativ ratlos und bitte dringend um Hilfe!!

Danke im Voraus.

Gruß

TOBY2

Anbei die LOG-files:

Files Found.................
----------------------------------------
unlodctl.exe
spnping.exe
qappsrvc32.exe
openconf.exe
nlsfuncs.exe
dx9vbc.dll
dnsauth.dll
taskopen.exe
iecust.dll
iecust.exe

Files Not deleted.................
----------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------

Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting
-----------------------------------------------------------------
hddc.dll
msde.dll
msi.dll
msij.dll
Finished

______________________________________________________

Logfile of HijackThis v1.99.0
Scan saved at 14:26:49, on 04.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\rvs_cent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\WinPatrol.exe
C:\WINDOWS\System32\winuptd.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Dietmar Korb\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
O2 - BHO: (no name) - {48B150BD-0431-40F7-83A3-87EA4FEEC33E} - C:\WINDOWS\System32\msij.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [taskopen.exe] taskopen.exe
O4 - HKLM\..\Run: [WinPatrol] "c:\PROGRA~1\WinPatrol.exe"
O4 - HKLM\..\Run: [winuptd.exe] winuptd.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - http://www.medionshop.de (file missing) (HKCU)
O16 - DPF: {C94BFF60-7315-11D2-A844-0060086FEFD7} (Internet Banking und Brokerage) - http://www.izb-hb.de/SPK_Kronach/SBrokerageinstV19.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1018A287-D443-4597-AD64-96E248B4884B}: NameServer = 69.50.166.94,69.31.80.244
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C98A635-6FB9-4C9E-A97F-073F8D3FD85E}: NameServer = 69.50.166.94,69.31.80.244
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDADDD24-F1CB-48B2-AB89-7A6C52A4FC07}: NameServer = 69.50.166.94,69.31.80.244
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: RVS CAPI - RVS Datentechnik GmbH, München - C:\WINDOWS\system32\rvs_cent.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

HM479 · 12.02.2005, 14:56

Hallo Lutz, ich habe genau das selbe Problem. Wollte auch schon selbst anfangen zu fixen, war mir am Ende dann doch zu gefährlich.

Also sende ich Dir mal eben die HJT und die log.txt aus rem.bat.

Hoffe Du kannst mir da auf die schnelle behilflich sein.
Danke schonmal für die Mühe.
Gruß
HM479

Files Found.................
----------------------------------------
run_dos.dll
rdspclips.exe
sethcd.exe
smbdins.exe
sprestrst.exe
tsmsetup.exe
upncont.exe
wowdbe.exe
iesp2.dll

Files Not deleted.................
----------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------

Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting
-----------------------------------------------------------------
msi.dll
Finished

Logfile of HijackThis v1.99.0
Scan saved at 14:28:09, on 12.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
D:\winarbor\dbisam\dbsrvr.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
D:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
D:\programme\DriveIcons\ImgIcon.exe
C:\Programme\Companion Suite Pro LM\MFPrintServer.exe
C:\PROGRA~1\COMPAN~2\ONETOU~3.EXE
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Common\ibackup.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Eigene Dateien\Download\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5192385D-8F68-458E-8892-5087B10AE250} - C:\WINDOWS\System32\qwsxp.dll
O2 - BHO: Name - {7EE1AE60-CC97-4A38-9F89-791A7F4DC746} - C:\WINDOWS\System32\msvpo.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iesp2.dll (file missing)
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] d:\programme\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] d:\programme\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [Iomega Automatic Backup 1.0.1] D:\Programme\Common\ibackup.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MFServices] "C:\Programme\Companion Suite Pro LM\MFServices.exe" -n
O4 - HKLM\..\Run: [MFPrintServer] "C:\Programme\Companion Suite Pro LM\MFPrintServer.exe"
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [OneTouch Monitor] C:\PROGRA~1\COMPAN~2\ONETOU~3.EXE
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [rdspclips.exe] rdspclips.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [Iomega Automatic Backup] D:\Programme\Common\ibackup.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Startup: Verknüpfung mit bclient.lnk = D:\bclient\bclient.exe
O4 - Startup: Verknüpfung mit faxserv.lnk = D:\winarbor\faxserv.exe
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/bi.../GoogleNav.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{29F1F563-6934-438B-B244-542F3CA71A86}: NameServer = 69.50.188.180 195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{67F0B3CC-C713-4CFF-B1C8-3234D394BAFB}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{85F70CCE-44B6-43F8-B0BF-06F6E56F41AC}: NameServer = 69.50.188.180,195.225.176.31
O18 - Filter: text/html - {F5CE9DB9-2F8B-456F-A69B-142C22BBFA8C} - C:\WINDOWS\System32\qwsxp.dll
O18 - Filter: tœ†5ò]DÆR - {F5CE9DB9-2F8B-456F-A69B-142C22BBFA8C} - C:\WINDOWS\System32\qwsxp.dll
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: DBISAM Database Server - DBSRVR - Elevate Software - D:\winarbor\dbisam\dbsrvr.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe

Rest hab ich rausgelassen, ist von Norton IS (Platzmangel)

Lutz · 12.02.2005, 16:20

Hallo HM479,

Ursache Deiner Probleme dürfte u.a. diese hier sein:

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Dein Betriebssystem befindet sich quasi im Auslieferungszustand...

Einige der 04-Einträge sehen nicht gut aus!
Mach mal einen Scan mit eScan (siehe Signatur) und poste anschließend, was gefunden wurde.
Öffne dazu die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
Falls dort nichts 'weiteres' besorgniserregendes' gefunden wird, können wir eine Bereinigung versuchen

HM479 · 12.02.2005, 19:45

Nach langem herunterladen hab ich es endlich geschafft, einen scan mit escan durchzuführen. :aplaus:

Was ich nicht so ganz verstehe: Ich habe mir vor zwei Wochen von Norton den Internet Security 2005 zugelegt und hatte auch vorher Norton AntiVir drauf und alles aktualisiert. Und trotzdem schleichen sich solche Mistviecher bei mir ein!!!

Ist Norton nicht sicher genug?? Denn ich habe mittlerweile des öfteren gehört, das Norton in punkto sicherheit ziemlich nachgelassen haben soll?? Oder muß man sich jetzt schon mit mehreren Scannern einpacken was für mich unlogisch erscheint, denn wer alles legal mit Wartungsvertrag erwerben will, bezahlt sich dann doch dumm und dusselig.

Also, hier die gefundenen Files:

Sat Feb 12 19:13:34 2005 => File C:\WINDOWS\System32\qwsxp.dll infected by "Trojan-Clicker.Win32.Agent.br" Virus. Action Taken: No Action Taken.
Sat Feb 12 19:13:49 2005 => File C:\WINDOWS\System32\qwsxp.dll infected by "Trojan-Clicker.Win32.Agent.br" Virus. Action Taken: No Action Taken.
Sat Feb 12 19:14:19 2005 => File C:\WINDOWS\System32\bling.exe infected by "Backdoor.Win32.Rbot.da" Virus. Action Taken: No Action Taken.
Sat Feb 12 19:14:44 2005 => File C:\WINDOWS\System32\iesp2.dll infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: No Action Taken.
Sat Feb 12 19:15:18 2005 => File C:\WINDOWS\System32\od-stnd807.exe infected by "Trojan.Win32.DNSChanger.e" Virus. Action Taken: No Action Taken.
Sat Feb 12 19:22:55 2005 => File C:\eied_s7.cab infected by "Trojan-Downloader.Win32.Mediket.s" Virus. Action Taken: No Action Taken.
Sat Feb 12 19:22:55 2005 => File C:\info6_s.cab infected by "Trojan.Win32.Dialer.t" Virus. Action Taken: No Action Taken.
Sat Feb 12 19:27:15 2005 => File C:\Programme\Iomega\AutoDisk\Setup_deu.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Feb 12 19:27:16 2005 => File C:\Programme\Iomega\System32\Win2kDrivers.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Lutz · 13.02.2005, 09:06

Wenn, wie in Deinem Fall, eine RBot-Variante gefunden wird

Zitat:

Sat Feb 12 19:14:19 2005 => File C:\WINDOWS\System32\bling.exe infected by "Backdoor.Win32.Rbot.da" Virus. Action Taken: No Action Taken.

lautet unsere Empfehlung Format C: und anschließendes neu installieren. Am Besten ist es, Du hältst Dich an diese Anleitung.

pop ups von Strippoker und Spyware-Info

Log-Analyse und Auswertung: pop ups von Strippoker und Spyware-Info