Hallo,

seltsame Dinge gehen auf meinem Rechner vor und ich brauche eure Hilfe.

Aufgefallen ist mir das alles als ich die Windows Firewall öffnen wollte und eine Fehlermeldung erhielt "Augrund eines unbekannten Problems können die Einstellungen der Windows Firewall nicht angezeigt werden". Jetzt ist mir auch erst aufgefallen das das Zeichen unten in der Leiste weg ist.

Aber hier mein Logfile:

Interessant sind die Einträge im oberen Bereich, ich bin mir sicher das ich beim Erscheinen des SP 2 diesen auch geladen habe, darüberhinaus benutze ich nicht den IE sondern Firefox, das ist mir alles sehr schleierhaft aber vieleicht könnt ihr mir helfen.

Logfile of HijackThis v1.99.1
Scan saved at 17:27:07, on 21.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2149)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirenKit 2005\AVKService.exe
C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SM1BG.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\explorer.exe
C:\Programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\Owner\Desktop\Sicherheit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/freenet/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\Programme\XP-TunerPRO\PopUp-Killer\PopUp-Killer.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SM1BG] C:\WINDOWS\SM1BG.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKCU\..\Run: [AVKBar] "C:\Programme\AntiVirenKit 2005\AVKBar.exe"
O8 - Extra context menu item: Fotoabzug online bestellen ! - http://fotoup.fotoserver.info/ie2wk.php?hid=gpicture
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://bin.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,76/mcinsctl.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {8E28B3A9-FE83-45D1-B657-D5426B81A121} (CustomerCtrl Class) - https://cs8b.instantservice.com/jars/customerxsigned41.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4365/mcfscan.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{11EF6398-5340-4545-8D63-1269C24C6AE1}: NameServer = 192.168.4.220
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe

Danke Nardoa
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.

LG Cidre
S-Mod TB

Dein System ist veraltet. SP2 installieren und alle Updates und Patches einspielen.

Lasse die Datei
C:\WINDOWS\SM1BG.EXE
hier http://virusscan.jotti.org/de/
prüfen und teile uns das Ergebnis mit.

Hallo und danke für die schnelle Antwort, aber wie oben schon geschrieben habe ich SP2 bei Erscheinen installiert und zwischendurch auch mehrmals neue Patchs geladen, zugegeben nicht kontinuierlich und in den letzten zwei bis drei Monaten garnicht mehr aber wieso wird dann SP1 angezeigt bzw. IE als Standartbrowser aufgeführt, ist mein System manipuliert und was geschieht wenn ich jetzt SP2 nochmal installiere?

Danke und Gruß

Nardoa

zum IE: der wird einfach so angeziegt, des hat nix mit dem Standart-Browser zutun. Meines WIssens baut Windoofs auf dem IE auf, deshalb kann man den auch nciht mal so schnell deinstallieren.

Ist es möglich das der IE, trotz das der Firefox als Standartbrowser eingetragen, ist nach draußen eine Verbindung einrichten kann bzw. dieser von diversen Schädlingen benutzt werden kann? Kann man den IE nicht generell entfernen?

Aber wie kann es sein das ich SP2 installiert hatte aber jetzt nur noch SP1 dasteht, Mnipulation?, und wäre es nicht sehr hilfreich erst die Übeltäter zu finden, z.B. im Logfile, diese zu entfernen und anschließend SP2 und die aktuellen Patchs zu installieren.

ach ja Fragen über Fragen, aber hier bin ich leider der Laie.

Danke und Gruß Henry

Ehe wir hier noch lange über ein nichtvorhandenes SP2 diskutieren, mache einen escan, genau nach Anleitung:
http://www.trojaner-board.de/showthread.php?t=17492
Halte Dich genau an die Anleitung und poste das mit der Datei find.bat erzeugte Log.

Sorry, ich wollte ja nicht rumdiskutieren aber wenn Fragen bestehen sollten diese doch gestellt werden, oder ist das hier anders? Aber kein Problem, eScan benutzt bzw. basiert doch auf der Kaspersky Scan Engine, genauso wie mein AVK 2005 prof oder gibt es da einen Unterschied, muß ich beim Einsatz von eScan den AVK abschalten?

Danke und Gruß

@Nardoa
muß ich beim Einsatz von eScan den AVK abschalten?Nein
scanne bitte mit escan http://www.trojaner-board.de/showthread.php?t=17492


den IE zu entfernen bedeutet das du windows nicht mehr updaten kann, dein system dürfte danach recht instabil werden. Am Besten nur mit IE updaten und zum surfen einen anderen browser nehmen.

chaosman

So nun hab ich das auch geschaft und hier das Ergebnis aus Find.bat, in der Virus Log Information von eScan waren 176 Einträge, ist es normal das jetzt nur so wenig dasteht?

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Aug 23 19:01:58 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue Aug 23 19:02:00 2005 => System found infected with istbar Spyware/Adware ({d128e6c8-6ae7-4ecd-939e-e2e6ca7d035d})! Action taken: No Action Taken.
Tue Aug 23 19:02:00 2005 => System found infected with istbar Spyware/Adware ({308a04d3-084d-43aa-a3e6-0d12bcca3ce6})! Action taken: No Action Taken.
Tue Aug 23 19:02:45 2005 => System found infected with PurityScan Spyware/Adware (usbmonit.exe)! Action taken: No Action Taken.
Tue Aug 23 20:23:59 2005 => Scanning Folder: C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected\*.*
Tue Aug 23 20:53:34 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Aug 23 19:02:45 2005 => Offending file found: C:\WINDOWS\System32\usbmonit.exe
Tue Aug 23 20:53:34 2005 => Total Virus(es) Found: 5
Tue Aug 23 20:53:34 2005 => Total Errors: 176
Tue Aug 23 20:53:34 2005 => Time Elapsed: 01:51:48
Tue Aug 23 20:53:34 2005 => Total Objects Scanned: 99671
Tue Aug 23 18:59:04 2005 => Virus Database Date: 2005/08/23
Tue Aug 23 20:53:34 2005 => Virus Database Date: 2005/08/23
Tue Aug 23 21:29:48 2005 => Virus Database Date: 2005/08/23
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Also schaut mal bitte wie es jetzt weiter geht.

Danke und Gruß

Nardoa

Hallo,

nun hab ich ja gemacht was ihr gesagt habt, aber ohne eure Hilfe komme ich jetzt nicht weiter.

Danke und Gruß

Henry

@Nardoa
Total Virus(es) Found: 5die 5 reichen dir nicht?
lade regseeker
lese dich im programm ein.
deinstalliere unter Systemsteuerung -> Software Istbar oder ähnliches.

Leere diesen Ordner: C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected\*.*

Lade spybot http://www.safer-networking.org/de/a...-managers.html

update es und wechsle in den abgesicherten modus
lasse spybot scannen. Lösche was es vorschlägt.
Lasse regseeker laufen, achte darauf das das Häkchen bei sichern vor löschen aktiviert ist.
neu booten.
poste danach bitte ein neues HJT logfile

chaosman

nene, also die 5 reichen mir völlig aus und ich seh jetzt zu das ich deinen Anweisungen folge und die Sache vom Tisch bekomme.

Gruß Nardoa

also rekseeker habe ich geladen und lese mich rein.

deinstalliere unter Systemsteuerung -> Software Istbar oder ähnliches.

Istbar o.ä. war nicht zu finden, sollte das da sein?

Gruß

hmm dann ist der eintrag schon entfernt..
naja egal dann einfach mit spybot weitermachen