Hallo,

ich habe seit kurzem offenbar einen Trojaner, der den Browser mit Werbeseiten ab und zu öffnet. Ich habe schon mit Antivir und Ad-aware versucht ihn wegzubekommen, es wurden einige Sachen entdeckt und gelöscht, aber bisher ohne Erfolg. Die PopUps kommen immernoch. Jetzt bin ich auf der Suche nach einer Lösung auf dieses Forum gestoßen und habe festgestellt, dass offenbar auch andere dieses Problem haben. Vielleicht kann mir jemand helfen. Hier mein Hijack-Log:

Logfile of HijackThis v1.99.1
Scan saved at 20:42:22, on 8.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\Antivir\AVWUPSRV.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\xxx\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQ\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQ\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\Deamon\daemon.exe" -lang 1033
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQ\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQ\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{73B814A6-C135-4605-91A8-8783AED67671}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{73B814A6-C135-4605-91A8-8783AED67671}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{73B814A6-C135-4605-91A8-8783AED67671}: NameServer = 192.168.0.1
O20 - Winlogon Notify: DateTime - C:\WINDOWS\system32\jt6807jue.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\Programme\Antivir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\Programme\Antivir\AVWUPSRV.EXE
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - E:\Programme\SiSoft Sandra\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - E:\Programme\SiSoft Sandra\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe

P.S. Nur zur Information: die deamon.exe und oodag.exe sind es nicht.

Vielen Dank im Voraus

Hallo,
mach mal folgendes, danach noch einen Scan mit Ewido
und poste danach ein neues Logfile.


Grüße Wildone

Hallo,

hab das alles durchgeführt, was Du mir geraten hast. Hier mein Log:

Logfile of HijackThis v1.99.1
Scan saved at 22:25:40, on 8.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\Antivir\AVWUPSRV.EXE
E:\Programme\Deamon\daemon.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\ewido\ewidoctrl.exe
C:\Dokumente und Einstellungen\ich\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQ\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQ\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\Deamon\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQ\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{73B814A6-C135-4605-91A8-8783AED67671}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{73B814A6-C135-4605-91A8-8783AED67671}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{73B814A6-C135-4605-91A8-8783AED67671}: NameServer = 192.168.0.1
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\Programme\Antivir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\Programme\Antivir\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - E:\Programme\ewido\ewidoctrl.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - E:\Programme\SiSoft Sandra\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - E:\Programme\SiSoft Sandra\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

SpySweeper hat 5 Sachen gefunden, auch den look2me.
Bis jetzt sind keine PopUps mehr aufgetreten.
Kannst Du vielleicht was zu dem Log sagen, damit ich auch verstehe wonach man da gucken muss. Wäre nett.

Danke

Achso und Danke natürlich für die schnelle Hilfe. Das Problem scheint echt behoben zu sein. Tausend Dank!!!

Hallo,
sieht jetzt alles sauber aus.

Zitat:

Kannst Du vielleicht was zu dem Log sagen, damit ich auch verstehe wonach man da gucken muss. Wäre nett.

Das ist schwierig, die Log Auswertung ist schon eine Sache für sich, bei dir war der Zufallseintrag in der Winlogon (O20-Eintrag) der Ausschlag für meine Diagnose (look2me). Eine Basis für die Auswertung ist www.hijackthis.de (dort das Log einfügen) aber die Auswertung ist fehlerhaft, und muss halt je nach dem auch interpretiert werden.


Grüße Wildone