Hallo, seit ca. 2 Wochen (nach Besuch einiger Underground Downloadsites) öffnen sich diverse Fenster beim einloggen ins Internet/Neustart des PCs. Teilweise installieren sich Sex Dailer nach dem Neustart von selber!
Trotz deinstallation von Kazaa und anderen merkwürdigen Search, PeerToPeer Programmen usw. keine Besserung in Sicht. Ich hab sogar die Vermutung dass es immer mehr wird statt weniger.
Das ganze trotz Norton InternetSecurity Professional 2004, Norton SystemWorks 2005 Version 8.00, alle Verfügbaren updates dieser Programme und trotz Ad-Aware SE Personal Build 1.05

Ich habe die Foren schon etwas durchforstet, da ich aber leider noch NIE Erfahrung mit Trojanern und Dailern hatte (hatte bis vor kurzen Kabelmodem und jetzt xDSL über Telefonleitung) bitte ich um Hilfe. :aplaus:

HijackThis v1.99.0 habe ich bereits runtergeladen und so ein in den Foren immer wieder erwähntes LOGFILE erstellt:


Logfile of HijackThis v1.99.0
Scan saved at 19:37:12, on 16.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Logitech Cordless Desktop\iTouch\iTouch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\System\prot.exe
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\Programme\Lexmark X5100 Series\lxbabmgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Lexmark X5100 Series\lxbabmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\System\wpservice.exe
C:\Programme\System\ntmgr.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\Tanja\LOKALE~1\Temp\Rar$EX01.375\HijackThis199[www.click-now.net].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.yahoo.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech Cordless Desktop\iTouch\iTouch.exe
O4 - HKLM\..\Run: [XM2002] C:\Programme\IPPS\XM2002®\XM2002.exe -auto
O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security Professional\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Verknüpfung mit ACHTUNG.lnk = C:\Dokumente und Einstellungen\Tanja\Eigene Dateien\ACHTUNG.txt
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite\ICQLite.exe
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe (file missing)
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe (file missing)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/game...s/y/blt1_x.cab
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/game...s/y/dot8_x.cab
O16 - DPF: Yahoo! Dots - http://download.games.yahoo.com/game...s/y/dtt1_x.cab
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/game.../y/fltt3_x.cab
O16 - DPF: Yahoo! Gin - http://download.games.yahoo.com/game...ts/y/nt1_x.cab
O16 - DPF: Yahoo! Mensch - http://download.games.yahoo.com/game...s/y/mat3_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/pote_x.cab
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/game...ts/y/rt0_x.cab
O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/game...s/y/ywt0_x.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{76E90683-643A-4ED8-A21A-62E39BEE2F01}: NameServer = 195.58.160.194 195.58.161.122
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: WPService - Unknown - C:\Programme\System\wpservice.exe



Falls irgendwer Zeit hat sich dieses Logfile durchzusehen, wäre ich dankbar mir zu erklären was ich genau dagegen tun kann um den ganzen "VOLLPFURZ" auf meinem PC wieder los zu werden.

Weiters möchte ich noch gerne wissen (wenn ich meinen Computer bereinigt habe) welche Programme ich installieren soll um solche Probleme zukünftig zu vermeiden.

Ich danke euch für die Zeit!

MfG
Wahnsinnsfrau

Hi,

diese Einträge fixen:

O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe

O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe (file missing)

O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe (file missing)

O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab

O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab

O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)

Lass diese Proramme hier überprüfen uns poste das ergebniss ins forum:

C:\Programme\System\prot.exe

C:\Programme\System\wpservice.exe

C:\Programme\System\ntmgr.exe

@WAHNSINNSFRAU
erst die angegebene einträge in abgesicherten modus fixen
danach manuell löschen
C:\Program Files\Windows ControlAd\WinCtlAd.exe
danach neu starten, und ein neues HJT logfile posten.
HJT bitte einen eigenen ordner geben.

Weiters möchte ich noch gerne wissen (wenn ich meinen Computer bereinigt habe) welche Programme ich installieren soll um solche Probleme zukünftig zu vermeiden.

Spybot und Adaware würde ich immer installieren, bitte auch mal dein surfverhalten überdenken. eventuell auch brain 2.0 einsetzen

chaosman

Zitat:

Zitat von WAHNSINNSFRAU

Weiters möchte ich noch gerne wissen (wenn ich meinen Computer bereinigt habe) welche Programme ich installieren soll um solche Probleme zukünftig zu vermeiden.

Nutze sichere Software: Ein sicheres Betriebssystem. Einen sicheren Browser. Ein sicheres Mailprogramm.

Und lies die Pflichtlektüre.

Gruß
Yopie

Bin in HijackThis reingegangen, habe die dinger angehakt die steveman gepostet hat.

danach bin ich auf Fix checked gegangen und folgende Fehlermeldung von HijackThis kam:

An unexpected error has occurred at procedure: modBackup_MakeBackup(sItem=O21 - SSODL: System Check2 - {54645654-2225-445-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing))
Error #62 - Einlesen hinter Dateiende

Please email me at merjin@spywareinfo.com, reporting the following:
* What you were doing when the error occurred
* How you can reproduce the error
*A complete HijackThis scan log, if possible

Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2800.1106
HijackThis version: 1.99.0

This message has been copied to your clipboard


Hab danach ok gedrückt

Nun hab ich das gemacht was chaosman gepostet hat (im abgesicherten Modus fixen)
jedoch kann ich das im abgesichterten Modus nicht fixen da es nicht aufscheint:

Hier ein Logfile vom abgesichterten Modus:


Logfile of HijackThis v1.99.0
Scan saved at 22:11:59, on 16.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Hijackthis 199\HijackThis199[www.click-now.net].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.yahoo.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/game...s/y/blt1_x.cab
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/game...s/y/dot8_x.cab
O16 - DPF: Yahoo! Dots - http://download.games.yahoo.com/game...s/y/dtt1_x.cab
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/game.../y/fltt3_x.cab
O16 - DPF: Yahoo! Gin - http://download.games.yahoo.com/game...ts/y/nt1_x.cab
O16 - DPF: Yahoo! Mensch - http://download.games.yahoo.com/game...s/y/mat3_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/pote_x.cab
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/game...ts/y/rt0_x.cab
O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/game...s/y/ywt0_x.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{76E90683-643A-4ED8-A21A-62E39BEE2F01}: NameServer = 195.58.160.194 195.58.161.122


Wie chaosman gepostet hat, habe ich HijackThis in einen eingenen Ordner verschoben unter C:\Hijackthis 199

Da das Fixen im abgesichterten Modus nicht funktioniert habe ich die von chaosman angegebene Datei
C:\Program Files\Windows ControlAd\WinCtlAd.exe lieber noch nicht gelöscht.

Nun habe ich noch wie steveman gepostet hat folgende Dateien überprüfen lassen:

Hier das Ergebnis von http://virusscan.jotti.org/de


Service load: 0% 100%

File: prot.exe
Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: ASPACK

AntiVir No viruses found (0.16 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.70 seconds taken)
ClamAV No viruses found (0.36 seconds taken)
Dr.Web No viruses found (0.55 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus No viruses found (0.64 seconds taken)
mks_vir No viruses found (0.23 seconds taken)
NOD32 No viruses found (1.83 seconds taken)
Norman Virus Control No viruses found (1.53 seconds taken)


Service load: 0% 100%

File: wpservice.exe
Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: None

AntiVir No viruses found (0.16 seconds taken)
Avast No viruses found (1.54 seconds taken)
BitDefender No viruses found (0.36 seconds taken)
ClamAV No viruses found (0.34 seconds taken)
Dr.Web No viruses found (0.62 seconds taken)
F-Prot Antivirus No viruses found (0.10 seconds taken)
Kaspersky Anti-Virus No viruses found (1.05 seconds taken)
mks_vir No viruses found (0.40 seconds taken)
NOD32 No viruses found (0.68 seconds taken)
Norman Virus Control No viruses found (0.73 seconds taken)


Service load: 0% 100%

File: ntmgr.exe
Status: OK
Packers detected: None

AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.54 seconds taken)
BitDefender No viruses found (0.70 seconds taken)
ClamAV No viruses found (0.31 seconds taken)
Dr.Web No viruses found (0.62 seconds taken)
F-Prot Antivirus No viruses found (0.05 seconds taken)
Kaspersky Anti-Virus No viruses found (1.38 seconds taken)
mks_vir No viruses found (0.48 seconds taken)
NOD32 No viruses found (0.77 seconds taken)
Norman Virus Control No viruses found (1.20 seconds taken)




Danke vorerst nochmal für eure Zeit.
Was soll ich jetzt machen bezüglich dass das fixen nicht funktioniert (auch nicht im abgesichten Modus)

Mfg
Wahnsinnsfrau

C:\Hijackthis 199\HijackThis199[www.click-now.net].exe

Was ist das denn für ein seltsamer Ordner, ist da was durcheinandergeraten? Am besten, du entpackst HJT noch mal neu in einen Ordner.

Das Fixen hat schon funktioniert, die Fehlermeldung dürfte sich nur darauf beziehen, dass bei einem Backup des einene Eintrages ein Fehler aufgetreten ist, da HJT bei jeder Änderung eine Sicherung erstellt.

Erstelle noch mal ein Logfile im normalen Modus.

Was die drei exe-Dateien betrifft, die du überprüfen solltest, besorge dir mal dieses Programm:

http://www.sysinternals.com/files/procexpnt.zip

starte die im zipfile enthaltene exe und dann siehst du eine Art erweiterten Taskmanager, schau dann mal, ob du diese 3 Dateien da findest und falss du sie auswählst, in der unteren Liste eventuell eine Information darüber entdeckst, zu welchem Programm sie gehören könnten.

Habe nun wie von MountainKing gepostet HijackThis in folgenden Ordner neu entpackt:
C:\HijackThis 1.99
und die Programmdatei HijackThis199[www.click-now.net] in HijackThis199 umbenannt

Nun ein aktuelles Logfile im normalen Modus:

Logfile of HijackThis v1.99.0
Scan saved at 23:12:24, on 16.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Logitech Cordless Desktop\iTouch\iTouch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\Programme\Lexmark X5100 Series\lxbabmgr.exe
C:\Programme\Lexmark X5100 Series\lxbabmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\System\wpservice.exe
C:\Programme\System\ntmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\HijackThis 1.99\HijackThis199.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.yahoo.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech Cordless Desktop\iTouch\iTouch.exe
O4 - HKLM\..\Run: [XM2002] C:\Programme\IPPS\XM2002®\XM2002.exe -auto
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security Professional\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQ\ICQLite\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/game...s/y/blt1_x.cab
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/game...s/y/dot8_x.cab
O16 - DPF: Yahoo! Dots - http://download.games.yahoo.com/game...s/y/dtt1_x.cab
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/game.../y/fltt3_x.cab
O16 - DPF: Yahoo! Gin - http://download.games.yahoo.com/game...ts/y/nt1_x.cab
O16 - DPF: Yahoo! Mensch - http://download.games.yahoo.com/game...s/y/mat3_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/pote_x.cab
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/game...ts/y/rt0_x.cab
O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/game...s/y/ywt0_x.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{76E90683-643A-4ED8-A21A-62E39BEE2F01}: NameServer = 195.58.160.194 195.58.161.122
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: WPService - Unknown - C:\Programme\System\wpservice.exe


Habe mir wie von MountainKing gepostet den erweiterten Task Manager "Process Explorer" runtergeladen

Diese drei Dateien
prot.exe
wpservice.exe
ntmgr.exe

gehören zum Programm WinProtokoll
ein ungefährliches Programm (Überwachungsprogramm - erstellt ein Protokoll aller Zugriffe auf dem PC vom Benutzer)

LG Wahnsinnsfrau

Das hatte ich vermutet, dann würde ich mal sagen, dass dein Log jetzt sauber aussieht und du nur noch den von Yopi geposteten Link durcharbeiten solltest.

Hallo

Danke MountainKing für deine Hilfe. Jedoch denke ich nicht dass mein Log jetzt sauber ist, da die nervigen Sites www.free6 und so sich immer noch automatisch öffnen, nachdem ich ins Internet einsteige.

Irgendeinen Kack muss ich da schon noch drauf haben. Auf jeden Fall werd ich mir mal die Programme besorgen die Chaosman empfohlen hat.

An was kann es noch liegen dass diese free6 Site und noch ne andere kommt?

DAnke für eure Zeit

LG Wahnsinnsfrau

Das kommt davon, wenn man so spät noch Logs durchliest. Du hast natürlich recht, es ist noch nicht sauber, allerdings dachte ich nach deinem letzten, das wäre alles schon gefixt gewesen.

Überprüfe
C:\Programme\Messenger\msmsgs.exe
bei Jotti, falls etwas gefunden wird, ebenfalls fixen.

Also wieder Systemwiederherstellung aus, abgesicherter Modus, fixen:

O4 - HKLM\..\Run: [XM2002] C:\Programme\IPPS\XM2002®\XM2002.exe -auto
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe


Dateien löschen, normal booten, Systemwiederherstellung aktivieren.
Und grundsätzlicher Tip: mehr Programme = mehr Sicherheit ist falsch. Im Gegenteil ist es sinnvoller, so wenig wie möglich zu installieren und nahezu alle sicherheitsrelevenaten Einstellungen lassen sich bei der wirklich unabdingbaren Software (Betriebssystem, Browser, mailclient) bereits vornehmen, ohne dass man sein System mit Ressourcenfressern wie Norton zumüllen muss. Nichts gegen eine Überprüfung mit Adaware und Spybot

Habe wie von MountainKing gepostet folgende Datei
C:\Programme\Messenger\msmsgs.exe
bei
http://virusscan.jotti.org/de

prüfen lassen. Leider? kam folgende Meldung:
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

ich hab danach meine Firewall und so deaktiviert, nochmal probiert - wieder das selbe. Dann hab ich auf meinem System nach der Datei gesucht - wurde nicht gefunden.

Wollte dann im abgesichterten Modus die von MountainKing angegebenen Logfilez fixen:

O4 - HKLM\..\Run: [XM2002] C:\Programme\IPPS\XM2002®\XM2002.exe -auto
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe


jedoch scheinen diese im abgesichterten Modus nicht auf
Hier ein Logfile vom abgesichterten Modus
L

ogfile of HijackThis v1.99.0
Scan saved at 13:09:45, on 17.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\HijackThis 1.99\HijackThis199.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.yahoo.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/game...s/y/blt1_x.cab
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/game...s/y/dot8_x.cab
O16 - DPF: Yahoo! Dots - http://download.games.yahoo.com/game...s/y/dtt1_x.cab
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/game.../y/fltt3_x.cab
O16 - DPF: Yahoo! Gin - http://download.games.yahoo.com/game...ts/y/nt1_x.cab
O16 - DPF: Yahoo! Mensch - http://download.games.yahoo.com/game...s/y/mat3_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/pote_x.cab
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/game...ts/y/rt0_x.cab
O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/game...s/y/ywt0_x.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{76E90683-643A-4ED8-A21A-62E39BEE2F01}: NameServer = 195.58.160.194 195.58.161.122


Was bedeutet überhaupt Systemwiederherstellung aus?
wenn ich den PC im abgesichtern Modus starten möchte möchte, muss ich immer unter Ausführen msconfig reingehen, danach öffnet sich das Systemkonfigurationsprogramm
und da kann ich wählen zwischen
Normaler Systemstart - Alle Gerätetreiber und Dienste laden
Diagnosesystemstart - Nur grundlegende Geräte und Dienste laden
Benutzerdefinierter Systemstart wobei ich nicht immer alle Systemelemente anhake

Ich nehme an Diagnosesystemstart ist abgesichterter Modus??

ich würd das ja gern mit einem Bild dokumentieren, leider schaffe ich es aber nicht die hier rein zu posten

Sicher ist es an und für sich bei mir empfehlenswert den PC neu aufzusetzen,
jedoch befürchte ich dass es nicht lange dauern wird und ich hab wieder mal so ein Problem, deshalb würd ich mich in diesem Gebiet etwas weiterentwickeln

Ich danke euch für eure Zeit und warte auf weitere Anweisungen

Danke
Wahnsinnsfrau

Tag Wahnsinnsfrau,

ich möchte gerne wissen, ob Du Malware auf dem System hast. Daher ersuche ich Dich freundlichst ein weiteres Programm runterzuladen: eScan (Link zum Link) (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM). Beachte die Anleitung. Du musst (!) für den eScan einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

--> Teile uns das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt. "Öffne die mwav.log -> Bearbeiten -> Suchen -> virus eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

--> Beachte bitte diese beiden Links: Entfernung von Schädlingen und Kompromittierung unvermeidbar?.

Die Systemwiederherstellung (bei Windows XP und ME) verhindert, dass Malware gelöscht werden kann ... das heisst, das System stellt sich bei Neustart des Rechners wieder her .. als wäre nichts geschehen. Du musst sie also deaktivieren, wenn Du Malware löscht oder Einträge mit Hijack This fixed, sonst war alles umsonst.

Hijack This Logfiles sollen nicht aus dem abgesicherten Modus, sondern aus dem normalen Modus erstellt und gepostet werden, da man dann erkennen kann, welche Programme laufen, was im abgesicherten Modus nicht der Fall ist.

SD