Ich hab von einem netten user aus einem anderen board gesagt bekommen dasheir profis sitzen die wissen was das zu bedeuten hat!Ich hab keien ahnung und bitte um hilfe!!!!

Vielen dank schon im voraus!!!


Logfile of HijackThis v1.99.0
Scan saved at 20:10:33, on 29.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\dit.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\flcss.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\Anvshell.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\SYSfit.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Reischl Mathias\Desktop\Daten von Mathias Reischl\Spiele von Mathias\HijackThis.exe
C:\WINDOWS\system32\ntvdm.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [dit] dit.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [F-Secure Anti-FunLove] C:\WINDOWS\System32\flcss.exe
O4 - HKLM\..\Run: [Game Service] C:\PROGRA~1\ubi.com\Core\GS4.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe

Bist du sicher, dass das das komplette Logfile ist? Wenn nicht, dann ergänze es bitte.
btw: Was ist dein Problem?

Hi,

was ist die Veranlassung von deinem Besuch!?

Lass bitte die beiden Dateien überprüfen

C:\WINDOWS\System32\flcss.exe

C:\WINDOWS\SYSfit.exe

und zwar hier: http://virusscan.jotti.org/de

Poste bitte das Ergebnis!

Gruss

also erstmal auch hallo!

der anlass meines besuches ist ein programm das immer wieder werbung in regelmäßigen abständen (so alle 30 minuten) öffnet (add shooter heisst es glaub ich)!es wird von spybot und ad-aware SE personal nicht ausfindig gemacht!

und hier das ergebnis des scanns von C:\WINDOWS\System32\flcss.exe:
File: flcss.exe
Status: POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)
Packers detected: None

AntiVir No viruses found (0.16 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.34 seconds taken)
ClamAV No viruses found (0.36 seconds taken)
Dr.Web No viruses found (0.57 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus No viruses found (0.70 seconds taken)
mks_vir No viruses found (0.23 seconds taken)
NOD32 probably unknown NewHeur_PE (probable variant) (0.41 seconds taken)
Norman Virus Control No viruses found (0.92 seconds taken)

und hier das ergebnis des scanns von SYSfit.exe:

File: SYSfit.exe
Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.54 seconds taken)
BitDefender No viruses found (0.60 seconds taken)
ClamAV No viruses found (0.41 seconds taken)
Dr.Web No viruses found (0.55 seconds taken)
F-Prot Antivirus No viruses found (0.12 seconds taken)
Kaspersky Anti-Virus No viruses found (0.72 seconds taken)
mks_vir No viruses found (0.41 seconds taken)
NOD32 No viruses found (0.51 seconds taken)
Norman Virus Control No viruses found (0.85 seconds taken)


@ haui: sorry ich hab offensichtlich nicht alles kopiert danke!
Hier nochmal alles!!!sorry!!!!


Logfile of HijackThis v1.99.0
Scan saved at 20:30:29, on 29.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\dit.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\flcss.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\Anvshell.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\SYSfit.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ntvdm.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [dit] dit.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [F-Secure Anti-FunLove] C:\WINDOWS\System32\flcss.exe
O4 - HKLM\..\Run: [Game Service] C:\PROGRA~1\ubi.com\Core\GS4.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SYSfit] C:\WINDOWS\SYSfit.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {24D1BDCE-D835-11D6-BF84-0050047EA0E7} (BlueStream_Flash Class) - http://www.rovion.com/Controls/Rovio...affiliate=WBZT
O16 - DPF: {525A15D0-4938-11D4-94C7-0050DA20189B} - http://de.easports.com/downloads/gam...y/iesnoopy.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CFE2BC7-69B5-4FA7-84A0-E1E349770322}: NameServer = 195.34.133.10,195.34.133.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{2CFE2BC7-69B5-4FA7-84A0-E1E349770322}: NameServer = 195.34.133.10,195.34.133.11
O17 - HKLM\System\CS2\Services\Tcpip\..\{2CFE2BC7-69B5-4FA7-84A0-E1E349770322}: NameServer = 195.34.133.10,195.34.133.11
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe


Ich hoffe ihr könnt mir helfen!

Zitat:

Zitat von HerrKautz

Hi,

was ist die Veranlassung von deinem Besuch!?

Lass bitte die beiden Dateien überprüfen

C:\WINDOWS\System32\flcss.exe

C:\WINDOWS\SYSfit.exe

und zwar hier: http://virusscan.jotti.org/de

Poste bitte das Ergebnis!

Gruss

Einmisch:
C:\WINDOWS\System32\flcss.exe ist der da.
Aber ich flatter schon wieder weg....

Zitat:

Zitat von cacatoa

Einmisch:
C:\WINDOWS\System32\flcss.exe ist der da.
Aber ich flatter schon wieder weg....

also löschen???

Wundert mich, daß Jotti den nicht gefunden hat. Weg damit.
Mach doch mal folgendes:
Erstelle einen Ordner C:\bases
Lade Dir eScan (mwav.exe) runter, entpacke die Datei in C:\bases, update (kavupd.exe) und lass das prog im abgesicherten Modus bei deaktivierter Systemwiederherstellung laufen (mwavscan.com)
Berichte dann, was eScan gefunden hat. (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen)
Der eScan kann schon mal ne Stunde dauern....
cacatoa

Wo wir schon dabei sind
SYSfit.exe dürft für die Werbung verantwortlich sein -> http://computercops.biz/startuplist-6557.html
Auf der von cacatoa verlinkten Seite findest du auch Hinweise zur Entfernung des W32/Flcss

Zitat:

Zitat von cacatoa

Wundert mich, daß Jotti den nicht gefunden hat. Weg damit.
Mach doch mal folgendes:
Erstelle einen Ordner C:\bases
Lade Dir eScan (mwav.exe) runter, entpacke die Datei in C:\bases, update (kavupd.exe) und lass das prog im abgesicherten Modus bei deaktivierter Systemwiederherstellung laufen (mwavscan.com)
Berichte dann, was eScan gefunden hat. (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen)
Der eScan kann schon mal ne Stunde dauern....
cacatoa

ok habs heruntergeladen und entpackt!scann kann ich erst morgen laufen lassen!!
aber was ist der abgesicherte modus?und wie kann man die Systemwiederherstellung deaktivieren und wie wiederherstellen??
sorry das sind sicher dumme fragen aber ich muss das wissen!!

abgesicherter Modus -> http://www.trojaner-board.de/63335-w...s-starten.html
Systemwiederherstellung deaktivieren -> http://service1.symantec.com/SUPPORT...30807105707924
Das nächste Mal bitte selbst aktiv werden (=>www.google.de)

Zitat:

Zitat von Haui45

Wo wir schon dabei sind
SYSfit.exe dürft für die Werbung verantwortlich sein -> http://computercops.biz/startuplist-6557.html
Auf der von cacatoa verlinkten Seite findest du auch Hinweise zur Entfernung des W32/Flcss

im explorer gibt es 3 von diesen SYSfit, SYSsfit und SYSsfitb.
alle löschen???

Hier gehts zum abgesicherten Modus.
Systemwiederherstellung deaktivieren:
Arbeitsplatz rechte Maustaste, Eigenschaften, Registerkarte Systemwiederherstellung, deaktivieren.
Nicht vergessen, nach dem scan neu normal booten und Systemwiederherstellung aktivieren.
cacatoa

Zitat:

Zitat von cacatoa

Hier gehts zum abgesicherten Modus.
Systemwiederherstellung deaktivieren:
Arbeitsplatz rechte Maustaste, Eigenschaften, Registerkarte Systemwiederherstellung, deaktivieren.
Nicht vergessen, nach dem scan neu normal booten und Systemwiederherstellung aktivieren.
cacatoa

vielen dank!!!!

Zitat:

im explorer gibt es 3 von diesen SYSfit, SYSsfit und SYSsfitb.
alle löschen???

Warte erstmal das Ergebnis von eScan ab, aber wahrscheinlich schon.
btw. wenn für den Virus (nicht die SYSfit.exe) schon extra ein Removal-Tool angeboten wird, würde ich dir dringend empfehlen diese auch zu verwenden und nichts von Hand zu löschen.

Zitat:

Zitat von Haui45

Warte erstmal das Ergebnis von eScan ab, aber wahrscheinlich schon.
btw. wenn für den Virus (nicht die SYSfit.exe) schon extra ein Removal-Tool angeboten wird, würde ich dir dringend empfehlen diese auch zu verwenden und nichts von Hand zu löschen.

ok danke!!!
ich lass den scan morgen laufen und melde mich dann wieder!!!!
vielen dank schonmal!!!!!
ihr habt echt was drauf!!!!

schöne Grüße aus dem verschneiten Tirol!!!!