Fenster mit Warnhinweisen öffnen sich!!!

smg_adorer · 16.08.2005, 16:15

Hallo,

habe seit ein paar Tagen ein Problem mit meinem Laptop. Ein paar Minuten nach dem Hochfahren tauchen Popups auf, die mich darauf hinweisen, dass ich Sicherheitsprobleme hätte und doch bitte diese und jene Homepage besuchen soll (Seiten wechseln), um das Problem zu beheben. Das passiert ca. im 2 Minuten Takt und ist auf dauer doch ziemlich nervig. Außerdem scheint es, als ob sehr viel an Rechenkapazität verloren geht, seit ich das Problem habe (Word braucht ca. eine Minute bis es geöffnet ist.)

Vielleicht kann mir jemand helfen?

Hier mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:21:33, on 14.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Programme\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\WINDOWS\System32\SerExt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\winssh.exe
C:\windows\system\romrade.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WLAN\WConfig\WConfig.exe
C:\Programme\T-Sinus 721\T-Sinus 721 PC\SEMon21.exe
C:\WINDOWS\System32\dxdmain.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\T-Sinus 721\T-Sinus 721 PC\xControlCOM.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
c:\programme\discountsurfer\_discountsurfer.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Dokumente und Einstellungen\Biene\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O1 - Hosts: 209.160.64.29 lloydstsb.co.uk
O1 - Hosts: 209.160.64.29 online.lloydstsb.co.uk
O1 - Hosts: 209.160.64.29 www.lloydstsb.co.uk
O1 - Hosts: 209.160.64.29 www.lloydstsb.com
O1 - Hosts: 209.160.64.29 personal.barclays.co.uk
O1 - Hosts: 209.160.64.29 barclays.co.uk
O1 - Hosts: 209.160.64.29 ibank.barclays.co.uk
O1 - Hosts: 209.160.64.29 www.barclays.co.uk
O1 - Hosts: 209.160.64.29 www.nwolb.com
O1 - Hosts: 209.160.64.29 nwolb.com
O1 - Hosts: 209.160.64.29 hsbc.co.uk
O1 - Hosts: 209.160.64.29 www.hsbc.co.uk
O1 - Hosts: 209.160.64.29 abbey.com
O1 - Hosts: 209.160.64.29 www.abbey.com
O1 - Hosts: 209.160.64.29 www.abbey.co.uk
O1 - Hosts: 209.160.64.29 abbey.co.uk
O1 - Hosts: 209.160.64.29 cahoot.com
O1 - Hosts: 209.160.64.29 www.cahoot.com
O1 - Hosts: 209.160.64.29 www.cahoot.co.uk
O1 - Hosts: 209.160.64.29 cahoot.co.uk
O1 - Hosts: 209.160.64.29 www.co-operativebank.co.uk
O1 - Hosts: 209.160.64.29 co-operativebank.co.uk
O1 - Hosts: 209.160.64.29 www.co-operativebank.com
O1 - Hosts: 209.160.64.29 co-operativebank.com
O1 - Hosts: 209.160.64.29 welcome2.co-operativebankonline.co.uk
O1 - Hosts: 209.160.64.29 welcome6.co-operativebankonline.co.uk
O1 - Hosts: 209.160.64.29 welcome8.co-operativebankonline.co.uk
O1 - Hosts: 209.160.64.29 welcome10.co-operativebankonline.co.uk
O1 - Hosts: 209.160.64.29 www.smile.co.uk
O1 - Hosts: 209.160.64.29 smile.co.uk
O1 - Hosts: 209.160.64.29 www.cajamar.es
O1 - Hosts: 209.160.64.29 cajamar.es
O1 - Hosts: 209.160.64.29 www.cajamar.com
O1 - Hosts: 209.160.64.29 www.unicaja.es
O1 - Hosts: 209.160.64.29 unicaja.es
O1 - Hosts: 209.160.64.29 www.unicaja.com
O1 - Hosts: 209.160.64.29 unicaja.com
O1 - Hosts: 209.160.64.29 www.caixagalicia.es
O1 - Hosts: 209.160.64.29 caixagalicia.es
O1 - Hosts: 209.160.64.29 www.caixagalicia.com
O1 - Hosts: 209.160.64.29 caixagalicia.com
O1 - Hosts: 209.160.64.29 activa.caixagalicia.es
O1 - Hosts: 209.160.64.29 www.caixapenedes.es
O1 - Hosts: 209.160.64.29 caixapenedes.es
O1 - Hosts: 209.160.64.29 www.caixapenedes.com
O1 - Hosts: 209.160.64.29 caixapenedes.com
O1 - Hosts: 209.160.64.29 bancae.caixapenedes.com
O1 - Hosts: 209.160.64.29 www.caixasabadell.es
O1 - Hosts: 209.160.64.29 caixasabadell.es
O1 - Hosts: 209.160.64.29 www.caixasabadell.net
O1 - Hosts: 209.160.64.29 caixasabadell.net
O1 - Hosts: 209.160.64.29 www.cajamadrid.es
O1 - Hosts: 209.160.64.29 cajamadrid.es
O1 - Hosts: 209.160.64.29 www.cajamadrid.com
O1 - Hosts: 209.160.64.29 cajamadrid.com
O1 - Hosts: 209.160.64.29 oi.cajamadrid.es
O1 - Hosts: 209.160.64.29 www.ccm.es
O1 - Hosts: 209.160.64.29 ccm.es
O1 - Hosts: 209.160.64.29 www.haspa.de
O1 - Hosts: 209.160.64.29 haspa.de
O1 - Hosts: 209.160.64.29 ssl2.haspa.de
O1 - Hosts: 209.160.64.29 www.dresdner-bank.de
O1 - Hosts: 209.160.64.29 dresdner-bank.de
O1 - Hosts: 209.160.64.29 www.dresdner-privat.de
O1 - Hosts: 209.160.64.29 postbank.de
O1 - Hosts: 209.160.64.29 www.postbank.de
O1 - Hosts: 209.160.64.29 banking.postbank.de
O1 - Hosts: 209.160.64.29 www.sparda-b.de
O1 - Hosts: 209.160.64.29 sparda-b.de
O1 - Hosts: 209.160.64.29 www.bankingonline.de
O1 - Hosts: 209.160.64.29 www.raiffeisenbank-erding.de
O1 - Hosts: 209.160.64.29 raiffeisenbank-erding.de
O1 - Hosts: 209.160.64.29 www.vr-networld-ebanking.de
O1 - Hosts: 209.160.64.29 vr-networld-ebanking.de
O1 - Hosts: 209.160.64.29 www.bnhof.de
O1 - Hosts: 209.160.64.29 bnhof.de
O1 - Hosts: 209.160.64.29 www.deutsche-bank.de
O1 - Hosts: 209.160.64.29 deutsche-bank.de
O1 - Hosts: 209.160.64.29 meine.deutsche-bank.de
O1 - Hosts: 209.160.64.29 www.citibank.de
O1 - Hosts: 209.160.64.29 citibank.de
O1 - Hosts: 209.160.64.29 cipehb13.cdg.citibank.de
O1 - Hosts: 209.160.64.29 www.dkb.de
O1 - Hosts: 209.160.64.29 dkb.de
O1 - Hosts: 209.160.64.29 www.sparkasse-regensburg.de
O1 - Hosts: 209.160.64.29 sparkasse-regensburg.de
O1 - Hosts: 209.160.64.29 www.berliner-bank.de
O1 - Hosts: 209.160.64.29 berliner-bank.de
O1 - Hosts: 209.160.64.29 www.berliner-sparkasse.de
O1 - Hosts: 209.160.64.29 berliner-sparkasse.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SerExt] SerExt.exe /plug
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\System32\mmsvc32.exe
O4 - HKLM\..\Run: [Network Access] winssh.exe
O4 - HKLM\..\Run: [Anti-Virus Update Scheduler] C:\windows\system\romrade.exe
O4 - HKLM\..\Run: [Quick Time Video Codec] qtime32.exe
O4 - HKLM\..\RunServices: [Network Access] winssh.exe
O4 - HKLM\..\RunServices: [Quick Time Video Codec] qtime32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [wkssvc] C:\WINDOWS\System32\wkssvc.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WConfig.lnk = ?
O4 - Global Startup: T-Sinus 721 Monitor.lnk = ?
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.bilderservice.de/direkt/s...dropupload.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/264cab63...dxIE601_de.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.pixdiscount.de/clients/ImageUploader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E689210B-5CF9-4BE1-9F6B-2ABB11158298}: NameServer = 62.104.191.241 62.104.196.134
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: DirectX Graphics (dxdmain) - Unknown owner - C:\WINDOWS\System32\dxdmain.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: xControlCOM - Siemens - C:\Programme\T-Sinus 721\T-Sinus 721 PC\xControlCOM.exe

Gigamail · 16.08.2005, 16:38

hallo smg_adorer

da du dein system nicht auf dem aktuellen Stand gehalten hast (schon mal was von SP2 gehört?) hat sich bei dir jede Menge Malware angesammelt. Die schlimmsten sind unter anderem diese beiden Backdoorviren
http://vil.nai.com/vil/content/v_100454.htm ==>

Zitat:

O4 - HKLM\..\RunServices: [Network Access] winssh.exe

http://securityresponse.symantec.com...r.heplane.html ==>

Zitat:

O4 - HKLM\..\Run: [Anti-Virus Update Scheduler] C:\windows\system\romrade.exe

Das reicht um das System neu aufzusetzen. Hilfe zum Neuaufsetzen und anschließende Absicherung

Zum Thema "kompromittierte Systeme":
http://www.microsoft.com/germany/technet/datenbank/articles/600574.mspx

smg_adorer · 16.08.2005, 16:48

Hallo Gigamail,

vielen Dank für deine Antwort.

Du siehst keine Chance mit Virenprogrammen und Adaware + Aufspielen von SP2 Abhilfe zu schaffen?

Falls nein, muss ich beim Sichern meiner Daten aufpassen, dass ich keine Viren mitkopiere? Norton Antivirus zeigt mir nämlich beim Systemcheck nicht einen einzigen Virus an!

Gigamail · 16.08.2005, 17:07

Zitat:

Zitat von smg_adorer

Du siehst keine Chance mit Virenprogrammen und Adaware + Aufspielen von SP2 Abhilfe zu schaffen?

nein da gibt es nur die Möglichkeit um wieder ein vertraueswürdiges System zu haben. Wenn du den Link über Kompromittierung gelesen hast wird dir das klar
Kompromittierung

Zur Datensicherung lese mal den Post von Lutz verzichte beim Sichern auf ausführbare Dateien
Alles andere über Absicherung steht in der Hilfe zu Neuaufsetzen

Fenster mit Warnhinweisen öffnen sich!!!

Log-Analyse und Auswertung: Fenster mit Warnhinweisen öffnen sich!!!