Ich verzweifel noch | Need HelP :(

SilverRider · 12.06.2005, 19:15

Ich habe schon zich sachen versucht.. adaware fand immer eine malware die löschte ich aber sie war kurz danach schon wieder da.
Hijackthis fand auch was was ich als nich so nett identifizieren konnte und löschte es
Aber es bringt alles irgendwie nix... ich hoffe ihr könnt mir helfen!

hier mal n log

Logfile of HijackThis v1.99.1
Scan saved at 20:10:13, on 12.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\SOUNDMAN.EXE
F:\Programme\ICQLite\ICQLite.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Trial\CalCheck.exe
C:\Programme\802.11 Wireless LAN\802.11b Wireless CardBus & PCI Adapter HW.11 V1.10\WlanCU.exe
F:\Mousometer\mousometer.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Der Ritter\Desktop\hijackthis_1991\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://bgkveefogteiuvy.com/vhVcNopXihDvYLbZ1jhdkXKo4D3_QB7ATWVxkah95yAkNIDC8sqZkHEJHJYww7I_.asp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.futuremark.com/products/3dmark05/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {834ABB9E-B5C2-5CDE-A290-9E79016F7C9D} - C:\DOKUME~1\DERRIT~1\ANWEND~1\INTRAA~1\Support help.exe
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [mmtask] C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Steam] F:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ABOUT FRAG] C:\DOKUME~1\DERRIT~1\ANWEND~1\INFODU~1\testthat.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Mousometer.lnk = F:\Mousometer\mousometer.exe
O4 - Global Startup: Ulead Kalendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Trial\CalCheck.exe
O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Programme\802.11 Wireless LAN\802.11b Wireless CardBus & PCI Adapter HW.11 V1.10\WlanCU.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

bei adaware...

Vendor: LOP
Category: Malware
Object Type: Process
Size: -
Location: c:\dokume~1\derrit~1\lokale~1\temp\gjsfmdhu.exe
Risk Level: High
Tac Rating: 7
Comment: (CSI MATCH)

Description:
Browser Hijacker. No uninstaller. May cause system instability. Auto updates. Operates in stealth.

wenn ich den entferne kommt ein anderer wieder.. ne andre exe...

da ich mich in diesem bereich nun gar nid auskenne bin ich auf euch angewiesen.
Wäre echt froh wenn ihr mich "retten" könntet.
Surfen tu ich momentan mitm Mozilla Firefox und mit meiner Firewall (Zonealarm) habe ich dem IE die verbindung zum netz gekappt (nicht erlaubt)

MfG

Silver

P.S: THX

felix1 · 12.06.2005, 19:29

Lade Dir den Clearprog, installire ihn und starte Ihn. Setze den Haken bei alles löschen und betätige den Botton alles löschen.
Dann update Dein System auf SP2. Update auch den IE.
Zur Sicherheit mache das:
http://www.trojaner-board.de/showthread.php?t=17492

SilverRider · 12.06.2005, 19:35

Zitat:

Zitat von felix1

Lade Dir den Clearprog,

was wie wo?

SilverRider · 12.06.2005, 19:47

sry 4 doppelpost

so dieses clean teil hab ich jetzt gemacht aber wie bekomme ich SP2?
und wenn ich immer wieder cleane dann is da immernoch 1 datei also immer wieder wird 1 datei geloescht...

felix1 · 12.06.2005, 19:51

Dann fahre den PC mal im abgesicherten Modus hoch und lösche den Inhalt des Verzeichnisses:
c:\dokume~1\derrit~1\lokale~1\temp\

SilverRider · 12.06.2005, 19:58

so war im abgesicherten modus
aber ab derrit gabs das verzeichnis nicht mehr...
deswegen konnte ich den inhalt nicht löschen...

felix1 · 12.06.2005, 20:05

Du solltest Dein System regelmäßig updaten!
Logfile of HijackThis v1.99.1
Scan saved at 20:10:13, on 12.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Dann muss weitergesucht werden. Deshalb mache genau nach Cidres Anleitung und poste das Ergebnis hier:
http://www.trojaner-board.de/showthread.php?t=17492

SilverRider · 12.06.2005, 20:09

danke für die Hilfe
Werde das morgen nach der Schule machen!!
Jetzt ist es ein bisschen spät da ich ja um 10 den pc ausmachen soll

SilverRider · 14.06.2005, 13:56

Hier mein eScann.. ich hoffe ihr könnt mir Helfen

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Jun 14 13:41:12 2005 => File C:\DOKUME~1\DERRIT~1\ANWEND~1\INTRAA~1\SUPPOR~1.EXE infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus! Action Taken: No Action Taken.
Tue Jun 14 13:46:48 2005 => File C:\Dokumente und Einstellungen\Der Ritter\Anwendungsdaten\Info dumb\Sectdvdmail.exe infected by "Trojan-Downloader.Win32.Swizzor.cb" Virus! Action Taken: No Action Taken.
Tue Jun 14 13:46:48 2005 => File C:\Dokumente und Einstellungen\Der Ritter\Anwendungsdaten\Info dumb\Soap send inter peak.exe infected by "Trojan-Downloader.Win32.Swizzor.ca" Virus! Action Taken: No Action Taken.
Tue Jun 14 13:57:04 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue Jun 14 14:36:13 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Jun 14 13:41:26 2005 => File C:\DOKUME~1\DERRIT~1\ANWEND~1\INFODU~1\testthat.exe tagged as "not-a-virus:AdWare.Lop.m". Action Taken: No Action Taken.
Tue Jun 14 13:43:34 2005 => File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Tue Jun 14 13:45:33 2005 => File C:\DOKUME~1\DERRIT~1\LOKALE~1\Temp\simxmqca.exe tagged as "not-a-virus:AdWare.Lop.m". Action Taken: No Action Taken.
Tue Jun 14 13:46:15 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dvd For Heck City\TRUSTFREE.exe tagged as "not-a-virus:AdWare.Lop.p". Action Taken: No Action Taken.
Tue Jun 14 13:46:48 2005 => File C:\Dokumente und Einstellungen\Der Ritter\Anwendungsdaten\Info dumb\piardgnu.exe tagged as "not-a-virus:AdWare.Lop.p". Action Taken: No Action Taken.
Tue Jun 14 13:51:00 2005 => File C:\Dokumente und Einstellungen\Der Ritter\Eigene Dateien\Meine empfangenen Dateien\click.exe tagged as not-a-virus:Effect.Win16.Click. No Action Taken.
Tue Jun 14 13:51:02 2005 => File C:\Dokumente und Einstellungen\Der Ritter\Eigene Dateien\Meine empfangenen Dateien\Geschenk.exe tagged as not-a-virus:Joke.Win32.Coke. No Action Taken.
Tue Jun 14 13:55:22 2005 => File C:\Dokumente und Einstellungen\Der Ritter\Lokale Einstellungen\Temp\simxmqca.exe tagged as "not-a-virus:AdWare.Lop.m". Action Taken: No Action Taken.
Tue Jun 14 13:56:57 2005 => File C:\Programme\AIDA32 - Enterprise System Information\aida32.bin tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken.
Tue Jun 14 13:56:57 2005 => File C:\Programme\AIDA32 - Enterprise System Information\aida32.exe tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken.
Tue Jun 14 13:56:58 2005 => File C:\Programme\AIDA32 - Enterprise System Information\aida_directx.dll tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken.
Tue Jun 14 13:57:11 2005 => File C:\Programme\C2Media\Setup.exe tagged as "not-a-virus:AdWare.Lop". Action Taken: No Action Taken.
Tue Jun 14 14:26:30 2005 => File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Jun 14 14:36:13 2005 => Total Virus(es) Found: 16
Tue Jun 14 14:36:13 2005 => Total Errors: 32
Tue Jun 14 14:36:13 2005 => Time Elapsed: 00:55:29
Tue Jun 14 14:36:13 2005 => Total Objects Scanned: 50307
Tue Jun 14 13:39:33 2005 => Virus Database Date: 2005/06/13
Tue Jun 14 14:36:13 2005 => Virus Database Date: 2005/06/13
Tue Jun 14 14:45:23 2005 => Virus Database Date: 2005/06/13
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

felix1 · 14.06.2005, 14:29

Mache das:
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
und
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Dann versuche nochmals:

Zitat:

Zitat von felix1

Dann fahre den PC mal im abgesicherten Modus hoch und lösche den Inhalt des Verzeichnisses:
c:\dokume~1\derrit~1\lokale~1\temp\

Lösche weiterhin im abgesicherten Modus:
C:\DOKUME~1\DERRIT~1\ANWEND~1\INTRAA~1\SUPPOR~1.EX E
C:\Dokumente und Einstellungen\Der Ritter\Anwendungsdaten\Info dumb\Sectdvdmail.exe
C:\Dokumente und Einstellungen\Der Ritter\Anwendungsdaten\Info dumb\Soap send inter peak.exe

Leere den Quarantäne-Ordner des Antivirusprogrammes.

Lade im normalen Modus Spybot, update ihn und lasse das Programm laufen.

SilverRider · 14.06.2005, 14:50

gesagt getan...

falls noch was kommt sag ich bescheid

thx erstmal

und da issa wieder

adaware sagt ihn mal wieder an...

nicht genug gelöscht? ich bekomm die krise

felix1 · 14.06.2005, 14:57

Deaktiviere mal die Systemwiederherstellung und starte den PC mal neu.
http://www.systemwiederherstellung-d...indows-xp.html

SilverRider · 14.06.2005, 15:16

hab ich getan... tut sich aber nichts.. vielleicht hast du ja eine datei übersehen? kannst den log ja nochmal ansehen

übrigens bei dem HijackThis log war ja so eine suchseite (wo ich find das die bööööse is

) die is immernoch da...

felix1 · 14.06.2005, 15:22

Jetzt mache nochmal ein HJT.

SilverRider · 14.06.2005, 15:22

Zitat:

Zitat von felix1

Jetzt mache nochmal ein HJT.

wos?

12.06.2005, 19:29	#2
felix1 /// Helfer-Team	Ich verzweifel noch \| Need HelP :( Lade Dir den Clearprog, installire ihn und starte Ihn. Setze den Haken bei alles löschen und betätige den Botton alles löschen. Dann update Dein System auf SP2. Update auch den IE. Zur Sicherheit mache das: http://www.trojaner-board.de/showthread.php?t=17492 __________________

12.06.2005, 19:51	#5
felix1 /// Helfer-Team	Ich verzweifel noch \| Need HelP :( Dann fahre den PC mal im abgesicherten Modus hoch und lösche den Inhalt des Verzeichnisses: c:\dokume~1\derrit~1\lokale~1\temp\

12.06.2005, 20:05	#7
felix1 /// Helfer-Team	Ich verzweifel noch \| Need HelP :( Du solltest Dein System regelmäßig updaten! Logfile of HijackThis v1.99.1 Scan saved at 20:10:13, on 12.06.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Dann muss weitergesucht werden. Deshalb mache genau nach Cidres Anleitung und poste das Ergebnis hier: http://www.trojaner-board.de/showthread.php?t=17492

14.06.2005, 14:57	#12
felix1 /// Helfer-Team	Ich verzweifel noch \| Need HelP :( Deaktiviere mal die Systemwiederherstellung und starte den PC mal neu. http://www.systemwiederherstellung-d...indows-xp.html

14.06.2005, 15:22	#14
felix1 /// Helfer-Team	Ich verzweifel noch \| Need HelP :( Jetzt mache nochmal ein HJT.

Ich verzweifel noch | Need HelP :(

Log-Analyse und Auswertung: Ich verzweifel noch | Need HelP :(