Hi Leute

Hab nen Rechner von nem Kumpel bei mir stehen, und der bringt ständig Werbepopups und antivir bringt auch ständig irgend welche Meldungen von wegen "Trojaner" und die sollen alle im Internet-Temp Ordner sein. Den hab ich aber geleert. Und die Meldungen kommen auch wenn der Rechner einfach nur da steht und läuft.
Das System läuft mit XP, und der Grund warum kein SP2 drauf ist, ist ganz einfach. Mein Kumpel wollte das SP2 bei MS unter Updates runterladen und installieren. Unter der Download blieb der Download einfach stehn und nix ging mehr --> heißt Neuninstallation! (Hatte übrigens das selbe Phänomen!)

Hier das Lof-File vom betroffenen Rechner.
Danke schon mal für eure Hilfe.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\winamp.exe
C:\WINDOWS\seeve.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINDOWS\switpa.exe
C:\wdns.exe
C:\WINDOWS\etb\pokapoka62.exe
C:\Programme\BullsEye Network\bin\bargains.exe
C:\programme\180searchassistant\sac.exe
C:\WINDOWS\System32\mf8604ge.exe
C:\Programme\WinFixer 2005\wfx5.exe
C:\windows\sp2update.exe
C:\AntiVir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\urch\asbc.exe
C:\WINDOWS\System32\?hkdsk.exe
C:\AntiVir\AVGUARD.EXE
C:\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\keyboard.exe
C:\WINDOWS\System32\rpclocator.exe
C:\WINDOWS\System32\mousecrm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Suki-Mike\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = xXxsearchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = xXxsearchbar.linksummary.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = xXxsearchbar.linksummary.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = xXxsearchbar.linksummary.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = xXxsearchbar.linksummary.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = xXxsearchbar.linksummary.com
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{02EE5B04-F144-47BB-83FB-A60BD91B74A9} - (no file)
R3 - URLSearchHook: (no name) - {02EE5B04-F144-47BB-83FB-A60BD91B74A9} - C:\Programme\SurfSideKick 3\SskBho.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [ctbn7dGW] C:\WINDOWS\pujygi.exe
O4 - HKLM\..\Run: [seeve] C:\WINDOWS\seeve.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [switp] C:\WINDOWS\switpa.exe
O4 - HKLM\..\Run: [izone] C:\wdns.exe
O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\etb\pokapoka62.exe
O4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe
O4 - HKLM\..\Run: [msresearch] C:\WINDOWS\msresearch.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [sac] c:\programme\180searchassistant\sac.exe
O4 - HKLM\..\Run: [mf8604ge] C:\WINDOWS\System32\mf8604ge.exe
O4 - HKLM\..\Run: [SurfSideKick 3] C:\Programme\SurfSideKick 3\Ssk.exe
O4 - HKLM\..\Run: [mhcn] C:\WINDOWS\mhcn.exe
O4 - HKLM\..\Run: [WinFixer 2005] C:\Programme\WinFixer 2005\wfx5.exe
O4 - HKLM\..\Run: [sp2update] C:\windows\sp2update.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Symantec Autoscan] lstfasmybervz.exe
O4 - HKLM\..\Run: [Microsoftf DDEs Control] soff.pif
O4 - HKLM\..\Run: [Winddows Servicer] servicer.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [aplysi] c:\windows\system32\taesqhe.exe r
O4 - HKLM\..\RunServices: [Symantec Autoscan] lstfasmybervz.exe
O4 - HKLM\..\RunServices: [Microsoftf DDEs Control] soff.pif
O4 - HKLM\..\RunServices: [Winddows Servicer] servicer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SurfSideKick 3] C:\Programme\SurfSideKick 3\Ssk.exe
O4 - HKCU\..\Run: [Atno] C:\Programme\urch\asbc.exe
O4 - HKCU\..\Run: [Xgs] C:\WINDOWS\System32\?hkdsk.exe
O4 - HKCU\..\Run: [Symantec Autoscan] lstfasmybervz.exe
O4 - HKCU\..\RunServices: [Symantec Autoscan] lstfasmybervz.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O15 - Trusted Zone: xXxny.contentmatch.net (HKLM)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - xXxstatic.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c11.cab
O16 - DPF: {7149E79C-DC19-4C5E-A53C-A54DDF75EEE9} (IObjSafety.DemoCtl) - xXxcabs.media-motor.net/cabs/joysaver.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - xXxstatic.topconverting.com/activex/website.ocx
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - xXxwww.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - xXxwww.180searchassistant.com/180saax.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - xXxwww.mt-download.com/MediaTicketsInstaller.cab?refid=2476
O16 - DPF: {B7E76C25-791F-432E-BDB7-748D01A93FC2} (VacPro.int_ver30) - xXxadvnt01.com/dialer/int_ver30.CAB
O16 - DPF: {CDCBE0F1-D13A-4F86-A963-3A272D3ABA7E} (VacPro.internazionale_ver15) - xXxadvnt01.com/dialer/internazionale_ver15.CAB
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} (WMService Class) - xXxdownload.overpro.com/WildAppNonUS.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\AntiVir\AVWUPSRV.EXE
O23 - Service: Keyboard Service System Files (Keyboard Service) - Unknown owner - C:\WINDOWS\System32\keyboard.exe
O23 - Service: Remote Procedure Call (RPC) Locator (Locator) - Unknown owner - C:\WINDOWS\System32\rpclocator.exe
O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe


Greetz mr_ZyRu$

Du hast sehr viel müll drauf oder dein Kollege. Ich würde komplett neu aufsetzen.

Hi Shahry

Das haben wir grad erst hinter uns. Die Neuinstall is drei Tage her.
Er hat nur sein persönliches Zeug drauf und war dann vielleicht ne Stunde ohne Virenschutz im Netz!
Und jetz DAS !?!

Was ist denn da alles drauf, dass sich das "reparieren" nicht mehr lohnt?
Denn ich kann das Log-File nicht wirklich lesen!

Greetz mr_ZyRu$

du hast sehr viele trojaner drauf. Ich würde gemäss folgender Anleitung
das System wieder neu aufsetzen.

http://www.trojaner-board.de/showthread.php?t=12154

nur schon 2sekunden reichen um dir im Internet ohne schutz alles einzufangen was man sich einfangen kann.

Hallo

Nur ein kurzer Abriss:

Zitat:

O4 - HKLM\..\Run: [ctbn7dGW] C:\WINDOWS\pujygi.exe
O4 - HKLM\..\Run: [seeve] C:\WINDOWS\seeve.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [switp] C:\WINDOWS\switpa.exe
O4 - HKLM\..\Run: [izone] C:\wdns.exe
O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\etb\pokapoka62.exe
O4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe
O4 - HKLM\..\Run: [msresearch] C:\WINDOWS\msresearch.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [sac] c:\programme\180searchassistant\sac.exe
O4 - HKLM\..\Run: [mf8604ge] C:\WINDOWS\System32\mf8604ge.exe
O4 - HKLM\..\Run: [SurfSideKick 3] C:\Programme\SurfSideKick 3\Ssk.exe
O4 - HKLM\..\Run: [mhcn] C:\WINDOWS\mhcn.exe
O4 - HKLM\..\Run: [sp2update] C:\windows\sp2update.exe
O4 - HKLM\..\Run: [Symantec Autoscan] lstfasmybervz.exe
O4 - HKLM\..\Run: [Microsoftf DDEs Control] soff.pif
O4 - HKLM\..\Run: [Winddows Servicer] servicer.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [aplysi] c:\windows\system32\taesqhe.exe r
O4 - HKLM\..\RunServices: [Symantec Autoscan] lstfasmybervz.exe
O4 - HKLM\..\RunServices: [Microsoftf DDEs Control] soff.pif
O4 - HKLM\..\RunServices: [Winddows Servicer] servicer.exe
O4 - HKCU\..\Run: [SurfSideKick 3] C:\Programme\SurfSideKick 3\Ssk.exe
O4 - HKCU\..\Run: [Atno] C:\Programme\urch\asbc.exe
O4 - HKCU\..\Run: [Xgs] C:\WINDOWS\System32\?hkdsk.exe
O4 - HKCU\..\Run: [Symantec Autoscan] lstfasmybervz.exe
O4 - HKCU\..\RunServices: [Symantec Autoscan] lstfasmybervz.exe

Min. 3 Backdoors , reichlich Adware und Trojan-Downloader, die immer wieder "Müll" nachladen.

Halte Dich bzw. Dein Kumpel an diese Anleitung . Dort ist auch ein Link zu finden, um eine SP 2-CD bei Microsoft direkt zu bestellen (Lieferzeit ca. eine Woche). Vor der Neuinstallation incl. SP 2 und der Systemabsicherung (siehe 12 Punkte in der Anleitung) nicht ins Netz einwählen.

dartus

Hab euren Rat befolgt und neu installiert!
Diesmal mit allem was die "Sicherheit" hergibt !! :aplaus:

Danke euch für die Hilfe