Bekomme ständig im Infobereich der Taskleiste die Meldung "Virus alert!" und dann geht ein Alarm-Icon auf mit Hinweis auf "Your Computer is Spyware detected!".

Habe MS AntiSpyware, AntiVir H+BEDV, Ad Aware SE und a-aquared drüberlaufen lassen. Es werden zwar Dateien selektiert, aber scheinbar werden nicht alle erwischt. Kann mit jemand mit dem Log-File weiterhelfen? Es werden *.tmp Dateien von AntiVir mit dem Hinweis auf den Trojaner bla bla gefunden, deren Bezeichnung sich aber ständig ändert... ich kann sie auch selektieren aber nicht löschen!

Danke im Voraus für eure Mühe!

Auf folgender Seite versucht der Explorer ständig ein Update: http://www.updatesystempage.com/

--------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 01:19:24, on 07.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Lexmark X5100 Series\lxbabmgr.exe
C:\Programme\Lexmark X5100 Series\lxbabmon.exe
C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\Programme\Creative\SBLive\Diagnostics\diagent.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\MICHAE~1\LOKALE~1\Temp\Rar$EX00.282\HijackThis.exe

O2 - BHO: HomepageBHO - {27150f81-0877-42e9-af13-55e5a3439a26} -

C:\WINDOWS\system32\hpAF1E.tmp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio

Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Programme\Roxio\Easy CD Creator

6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [diagent] C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [WiseFTP] C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame

Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat

7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop

Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search -

res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -

res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) -

http://www.creative.com/su/ocx/15009/CTSUEng.cab
O16 - DPF: {0E4796D6-A990-4372-9069-72FBDB4AE868} -

http://www.one2one.com/static/class/one2oneSvc.cab
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) -

http://www.midasplayer.com/midasa.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool)

- http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) -

http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -

http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstall

er.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -

http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) -

http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) -

http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) -

http://asp03.photoprintit.de/microsite/2147/defaults/activex/ImageUploader3.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) -

https://www-secure.symantec.com/region/de/techsupp/activedata/ActiveData.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support

Package) - http://www.creative.com/su/ocx/15010/CTPID.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH -

C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany -

C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd -

C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. -

C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation -

C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -

C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. -

C:\WINDOWS\system32\UAService7.exe


LG Michael

Hallo eiswerk,

führe folgendes durch:
http://www.trojaner-board.de/showthread.php?t=21709
Poste die entspr. Logfiles.

dartus

Habe da jetzt noch 2 Dateien die beim checken lassen des HJT Logfiles als sehr gefährlich eingestuft wurden!

- win\system32\msnetsearch
- win\system32\nsvctrl

Beide bekomme ich manuell nicht gelöscht, wie kann ich da vorgehen?

@eiswerk

ich würde dir aufgrund diesen beiden eintägen raten dein system neu aufzusetzen.
anleitung dazu findest du in meiner signatur..

Hallo eiswerk,

den Weg zur Bereinigung ist in meinem Link beschrieben!!

dartus

@hoerni,

womit begründest Du eine Neuinstallation? Besitzen diese Schädlinge Backdoorfunktionalität?

@dartus

kurz zur begründung.
ich habe mit der zeit hier erfahren das bei den beiden einträgen auf dauer ein Neuaufsetzen die sicherste und beste methode ist.
aber ich find es ok,das du andere ansichten hast.

gruß

Ich habe mal erfahren das Babys vom Klapperstorch gebracht werden und der Weihnachtsmann am Nordpol wohnt....
Dann habe ich dieses "mal gehört,erzählt bekommen und erfahren" durch eigenes Wissen ersetzt.
Wie ich heute noch finde,der bessere weil richtigere Weg.
Irrlicht

Zitat:

Zitat von eiswerk

Habe da jetzt noch 2 Dateien die beim checken lassen des HJT Logfiles als sehr gefährlich eingestuft wurden!

- win\system32\msnetsearch
- win\system32\nsvctrl

Beide bekomme ich manuell nicht gelöscht, wie kann ich da vorgehen?

also kann mit hier jetzt auch keiner mitteilen wie ich diese teile löschen kann oder???

Ist also System neu aufsetzen das einzig Mögliche? Es fehlt ja sonst nix groß.... habe nur ab und zu ein PopUp wo aufgeht und diese Fehlermeldungen unten rechts, die ich aber ausblenden kann.
Komisch ist nur, das der MS AntiSpyWare erst anschlägt, wenn dieses Teil sich installiert hat! Läßt sich aber problemlos löschen. Eine Stunde später kommt es wieder...

Ach und was am meisten nervt ist das, das kein Java mehr läuft... kann also nicht mehr chatten! Kriegt man das irgendwie hin ohne neu installieren!

Also muss ich neu aufsetzen oder hat hier jemand ne andere Lösung???

Hallo Eiswerk,
oben hat Dartus einen Direktlink für dich gesetzt.Den nimmst du und handelst wie dort beschrieben.
Irrlicht