Hallo zusammen,
bei mir taucht jetzt auch immer ein Popup auf, das Windows mit Spyware
infected ist. Da ich nicht so viel Ahnung davon habe, wäre es nett, wenn mir jemand helfen könnte, das wieder zu beseitigen.
Vielen Dank und Grüsse
tukan39
Hier ist der logfile:
Logfile of HijackThis v1.99.1
Scan saved at 18:26:13, on 13.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Bernard\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://www.aldi.com/
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hp8BD4.tmp (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O3 - Toolbar: Pictures - {8E929F51-5914-11D6-971F-0050FC3F9161} - C:\Programme\Pictures Toolbar\Pictures.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\system32\1024\ld854A.tmp" /m
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: desktop(2).ini
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: desktop(2)(2).ini
O4 - Global Startup: desktop(2).ini
O4 - Global Startup: desktop(3).ini
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - hxxp://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

@tukan39
Benutze mal dieses Progamm, um die nicht notwendigen Dienste abzuschalten.
Lade SpyBot S&D und AdAware herunter und scanne deinen PC.

Zitat:

O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\system32\1024\ld854A.tmp" /m

Ich frage mich, was eine tmp-Datei im Autostart zu suchen hat? Bitte die Datei richtig suchen und bei www.virustotal.com checken.

Hallo Rene-gad,
vielen Dank für Deine schnelle Hilfe. Mit SpyBot und AdAware hatte ich schon
gescannt, aber nichts gefunden. Deine anderen Vorschläge werde
ich heute abend ausprobieren (muß gerade arbeiten).
Viele Grüße
tukan39

Hallo,
du hast Spyaxe. Besorge dir mal dieses Tool, enpacke es, lass es im abgesicherten Modus(F8 beim booten) laufen (ausführen der runthis.bat), und poste danach den Inhalt der Datei C:\smitfiles.txt

Dann machst du noch folgendes und postest die vier Logs (nur die Dateien der letzten drei Monate abkopieren!)


Grüße Wildone

@Wildone

Zitat:

du hast Spyaxe.

Wie kann man das beweisen?

Zitat:

Dann machst du noch folgendes und postest die vier Logs (nur die Dateien der letzten drei Monate abkopieren!)

ROFL! Warum nicht einfach die Temp-Ordner zu leeren und den Explorer richtig einstellen? Diese "4 Logs in 3 Monaten" belegen u.U. 5 Seiten und zig MB Speicherplatz!!!

Hallo,
also ich schreibe dir ja auch nicht vor wie du deine Systeme analysieren sollst, und solange ich das innerhalb der Forenrichtlinien mache sehe ich keinen Grund dies zu ändern, es sei denn jemand aus dem Mod Team bittet mich das Board zu verlassen, dem würde ich dann folge leisten.
Ich habe meine Gründe warum ich die vier Logs haben will, und sie passen meist in einen Beitrag und sind nicht größer als beispielsweise ein Log mit winpfind.

Zitat:

Wie kann man das beweisen?

Beweisen kann ich es erstmal nicht, aber die Vermutung bei einem ld*.tmp Eintrag im generierten 1024 Ordner im System32-Ordner legt es schon sehr nahe, und es verwundert mich schon etwas das du da nicht drauf gekommen bist.

Also, da du dich zuerst dem TE angenommen hast ziehe ich mich hiermit zurück, und bitte dich in Zukunft die von mir übernommenen Threads mit Kommentaren zu verschonen, es sei denn du hast wirklich was zu sagen.



Grüße Wildone

@Wildone

Zitat:

Ich habe meine Gründe warum ich die vier Logs haben will

Kannst du diese auch veröffentlichen? Es ist wohl absolut sinnfrei, die Inhalte der Temp-Ordnern anzuschauen und noch versuchen, die zu analysieren statt die einfach zu löschen.

Zitat:

Beweisen kann ich es erstmal nicht, aber die Vermutung bei einem ld*.tmp Eintrag im generierten 1024 Ordner im System32-Ordner legt es schon sehr nahe...

Die Ratschläge, die sich auf Glaskugel-Vermutungen basieren, sind wertlos.

Zitat:

es verwundert mich schon etwas das du da nicht drauf gekommen bist.

Musste ich?

Servus @all!
Bevor Ihr beide euch noch weiter in die Haare bekommt um anschließend über mich herzufallen, will ich auch meinen Senf dazu geben:

Zitat:

O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hp8BD4.tmp (file missing)

Wildone hat wohl nicht ganz Unrecht mit seiner Vermutung?!
Und wenn schon beflegeln - dann am besten per PN, oder? Ihr "alten Hasen" solltet schon ein besseres Beispiel abgeben!
*duckundwegundtschüss*
gts, und habt euch wieder lieb, stupormundi

(OT)
@Rene-Gad
Es werden ja nicht nur die Temp Ordner analysiert sondern auch C:\, C:\Windows und C:\Windows\System32 Beispielthread warum das ganz sinnvoll sein kann hier.
Oder wie hättest du die Dateien kl.exe, winsub.xml, svcp.csv, desktop.html, hosts, scmt16.exe gefunden?
Aber eigentlich habe ich überhaupt keine Lust hier noch weiteres darzulegen, vorallem deshalb nicht, weil ich nicht freundlich gefragt wurde sondern blöd von der Seite angemacht wurde.
Ansonsten entschuldige ich mich das ich dich in deinem Thread gestört habe das wird definitiv nicht wieder vorkommen, das gleiche lege ich dir nahe.
Von meiner Seite EOD

Grüße Wildone

@stupormundi
ich will keinem ins Haar greifen, ich mag einfach nicht, wenn man seine Ratschläge aufgrund ausschließlich der Hellseherei macht: weder Datei- noch CLSID-Name sind in dem Fall eindeutig schlüssig. Solche Ratschläge u.U. mehr schaden, als helfen.
@Wildone

Zitat:

Oder wie hättest du die Dateien kl.exe, winsub.xml, svcp.csv, desktop.html, hosts, scmt16.exe gefunden?

Wie immer - über Startmenü/Suchen .

Zitat:

Wie immer - über Startmenü/Suchen

Da wäre jetzt wiederum meine Glaskugel zu beschlagen , aber gut.

Hallo Rene-gad und Wildone,
jetzt kriegt Euch wegen mir mal nicht in die Haare.
Tatsache ist doch, das Ihr mir beide helfen wollt und das finde ich
supernett von Euch. Ich kann leider erst heute Abend alles abarbeiten
und melde mich dann wieder. Zur Not muß ich eben neu installieren.
Danke und viele Grüsse
tukan39

Hallo Wildone,
hier ist der Inhalt von smitfiles.txt:


smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SpyAxeFix © by noahdfear

spyaxe directory present

spyaxe uninstaller present

Starting spyaxe uninstaller

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~

Online Security Center.url


~~~ Favorites ~~~



~~~ system32 folder ~~~

svchosts.dll
1024 dir
ld****.tmp
ncompat.tlb


~~~ Icons in System32 ~~~

ts.ico
ot.ico


~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 764 'explorer.exe'
Killing PID 764 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!

Hallo Wildone, hier ist Log1

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\WINDOWS\system32

14.12.2005 20:17 376.016 perfh009.dat
14.12.2005 20:17 62.578 perfc007.dat
14.12.2005 20:17 386.338 perfh007.dat
14.12.2005 20:17 51.814 perfc009.dat
14.12.2005 20:17 886.752 PerfStringBackup.INI
14.12.2005 19:50 23.552 Thumbs.db
07.12.2005 19:53 2.206 wpa.dbl
05.12.2005 17:22 5.384 ncompat(2).tlb
03.12.2005 14:37 98.304 svchosts(2).dll
03.12.2005 14:36 4.286 ts(2).ico
03.12.2005 14:36 4.286 ot(2).ico
24.11.2005 18:36 350.584 FNTCACHE.DAT
10.11.2005 21:17 2.377.568 MRT.exe
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
06.10.2005 04:08 1.839.616 win32k(4).sys
06.10.2005 04:08 1.839.616 win32k(3).sys
06.10.2005 04:08 1.839.616 win32k(2).sys
04.10.2005 16:26 3.013.120 mshtml.dll
04.10.2005 16:26 3.013.120 mshtml(2).dll
04.10.2005 16:26 3.013.120 mshtml(3).dll
23.09.2005 04:06 8.491.520 shell32(4).dll
23.09.2005 04:06 8.491.520 shell32.dll
23.09.2005 04:06 8.491.520 shell32(3).dll
23.09.2005 04:06 8.491.520 shell32(2).dll
10.09.2005 02:54 2.067.968 cdosys.dll
05.09.2005 17:16 23.392 nscompat.tlb
05.09.2005 17:16 16.832 amcompat.tlb
03.09.2005 00:53 664.064 wininet(4).dll
03.09.2005 00:53 664.064 wininet(3).dll
03.09.2005 00:53 664.064 wininet(2).dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 1.484.288 shdocvw(4).dll
03.09.2005 00:53 55.808 extmgr.dll

Log2
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\DOKUME~1\Bernard\LOKALE~1\Temp

12.12.2005 19:44 2.601.592 sa13.exe
12.12.2005 19:44 0 sa13.tmp
11.12.2005 19:04 2.601.592 sa1E.exe
11.12.2005 19:03 0 sa1E.tmp
11.12.2005 18:23 0 sa12.tmp
11.12.2005 15:58 0 sa11.tmp
11.12.2005 14:05 797.676 IMT43.xml
11.12.2005 14:05 426 IMT42.xml
11.12.2005 14:05 2.036 IMT41.xml
11.12.2005 14:04 797.676 IMT2F.xml
11.12.2005 14:04 426 IMT2E.xml
11.12.2005 14:04 2.036 IMT2D.xml
11.12.2005 14:02 797.676 IMT15.xml
11.12.2005 14:02 426 IMT14.xml
11.12.2005 14:02 2.036 IMT13.xml
11.12.2005 14:01 797.676 IMTE.xml
11.12.2005 14:01 426 IMTD.xml
11.12.2005 14:01 2.036 IMTC.xml
11.12.2005 13:56 797.676 IMTF.xml
10.12.2005 10:52 4 Twain001.Mtx
09.12.2005 23:04 122 0FD1A8EB.TMP
05.12.2005 20:10 31.520 SALanguage.ini
05.12.2005 19:29 2.857.002 sa25.exe
05.12.2005 19:28 0 sa25.tmp
05.12.2005 18:48 0 sa10.tmp
05.12.2005 18:25 0 saF.tmp
05.12.2005 18:16 0 saE.tmp
05.12.2005 18:02 0 saB.tmp
05.12.2005 18:00 0 saA.tmp
05.12.2005 17:09 0 sa9.tmp
04.12.2005 17:01 2.856.926 sa19.exe
04.12.2005 17:00 0 sa19.tmp
04.12.2005 16:20 2.856.926 sa8.exe
04.12.2005 16:18 0 sa8.tmp
04.12.2005 16:16 225 temp.frFFE9
04.12.2005 15:35 0 sa22.tmp
04.12.2005 14:55 0 sa6.tmp
04.12.2005 14:13 0 sa7A.tmp
04.12.2005 13:33 0 sa5.tmp
04.12.2005 13:30 0 sa4.tmp
04.12.2005 13:27 0 sa1.tmp
04.12.2005 13:27 1.165 InoSetup.log
04.12.2005 13:13 0 sa3.tmp
04.12.2005 08:12 0 sa2.tmp
03.12.2005 19:21 0 saD.tmp
03.12.2005 18:41 0 saC.tmp
03.12.2005 15:23 2.961.065 sa7.exe
03.12.2005 15:21 0 sa7.tmp
02.12.2005 14:23 594 DBErrors.log
02.12.2005 14:20 36.864 MSI12.tmp
01.12.2005 19:16 53.248 unwise.exe
27.11.2005 08:50 43.908 ddf2_appcompat.txt
13.11.2005 09:32 16.384 ~DF8BD5.tmp
19.08.2005 16:18 14.456 ~WRS1971.tmp
19