Hallo ich hab schon seit Wochen einen komischen Virus oder Trojaner auf meinem PC der mir ständig die Internetverbindung kappt. Allerdings nicht richtig da ich mich nicht neu einwählen muss. Bei MSN verschluckt er ganze Nachrichten die garnicht erst ankommen. Hab schon mit Kaspersky, AntiVir, Norton und Ad-Aware scans gemacht doch alles ok... Ich weiss echt nicht mehr weiter! Ausserdem bekomm ich ständig PopUps von Spielcasinos und diversen und einem WinFixer 2005- die hab ich vorher nie bekommen.

ICh hab das erste mal HiJack gemacht und weiss noch nichtmal ob ich alles richtig gemacht hab. Bin auf den Gebiet noch neu. Aber hier das Ergebnis:

Logfile of HijackThis v1.99.1
Scan saved at 17:21:49, on 10.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Besitzer\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.mrrsxslftwwbzzr.org/tAeVC0rn/c5nckCX6l2OD3NjpXfwYly4JH3k72SB6gE0HtQYI88dfT/sN/PP3DV5.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Programme\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Programme\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "C:\Programme\Ares Lite Edition\Ares.exe" -h
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Setup Amen] C:\DOKUME~1\Besitzer\ANWEND~1\greypop\64lieslive.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {19B5F4C2-539F-427D-8200-8EE23C03472B} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {19B5F4C2-539F-427D-8200-8EE23C03472B} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: Yahoo! Canasta - http://download.games.yahoo.com/games/clients/y/yt1_x.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1135804399781
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{512E1E9E-AC13-4E1D-A19F-1CAB6ED74516}: NameServer = 213.191.92.84 213.191.74.12
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Unknown owner - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Sieht da alles ok aus? Bitte um rasche Antwort. Schonmal danke im Voraus

Hallo,
deinstalliere MessengerPlus! 3 und besorge dir einen seriösen Chatclient, die Popups kommen von Adware die der Messenger mitinstalliert hat.
Außerdem kannst du noch folgendes fixen (Haken davor und auf "fix checked"):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.mrrsxslftwwbzzr.org/tAeVC0rn/c5nckCX6l2OD3NjpXfwYly4JH3k72SB6gE0HtQYI 88dfT/sN/PP3DV5.html


Grüße Wildone

Außerdem kannst du noch folgendes fixen (Haken davor und auf "fix checked"):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.mrrsxslftwwbzzr.org/tAeVC0rn/c5nckCX6l2OD3NjpXfwYly4JH3k72SB6gE0HtQYI 88dfT/sN/PP3DV5.html


Häääää? Was soll ich machen? Sorry aber kenn mich nicht so aus. Also MSN Plus hab ich deinstalliert!

Hallo,
okay noch mal langsam, du öffnest HijackThis klickst auf "do a System scan only" und machst dann einen Haken vor den oben genannten Eintrag, dann klickst du auf "fix checked", jetzt klar?


Grüße Wildone

Achso ok sry!

Ok hab ich gemacht! Meinst du das mein Problem jetzt behoben sein wird?

Danke - das ging echt schnell!

:aplaus:

Hallo,
also das Problem mit den Popups sollte damit behoben sein, wie es mit dem kappen der Internetverbindung aussieht bin ich mir nicht sicher, melde dich einfach noch mal wenn es weiterhin passiert.


Grüße Wildone

Hallo, mein Problem ist leider immernoch nicht behoben. Pupsups kommen zwar nicht mehr so oft aber meine internet verbindung unterbricht immernoch ständig

Hallo,
dann müssen wir jetzt mal tiefer graben (könnte aber auch sein das das Problem nichts mit einem Virus zu tun hat). Erstmal schaust du ob der Ordner C:\DOKUME~1\Besitzer\ANWEND~1\greypop (Dateien richtig suchen) noch existiert, wenn ja löschst du ihn. Dann fixt du diesen Eintrag:
O4 - HKCU\..\Run: [Setup Amen] C:\DOKUME~1\Besitzer\ANWEND~1\greypop\64lieslive.exe

Außerdem untersuchst du mal dein System mit F-Secure Blacklight und postest das Log (Textdatei die nach dem Scan im selben Pfad erzeugt wird).

Außerdem postest du noch ein Log von Silentrunners.


Grüße Wildone

Ja also der ordner exesiterite noch den hab ich jetzt gelöscht. Und dieses Blacklightprogramm da hab ich nen scan gemacht aber konnte kein Log finden und posten.

Und dieses andere Programm will mein Rechner einfach nicht öffnen!

Hallo,
also das Blacklight Log liegt an der selben Stelle wo du Blacklight gespeichert hast (müsste in etwas so aussehen: fsbl-20060111181201.log). Falls du es immernoch nicht findest, hat denn Blacklight etwas gefunden?

Bekommst du eigentlich noch Popups?

Welche Fehlermeldung wird beim ausführen von Silentrunners angezeigt?


Grüße Wildone

ok habs gefunden:

01/11/06 20:05:46 [Info]: BlackLight Engine 1.0.30 initialized
01/11/06 20:05:46 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/11/06 20:05:46 [Note]: 7019 4
01/11/06 20:05:46 [Note]: 7005 0
01/11/06 20:05:59 [Note]: 7006 0
01/11/06 20:05:59 [Note]: 7011 1292
01/11/06 20:06:00 [Note]: FSRAW library version 1.7.1014
01/11/06 20:06:24 [Note]: 7006 0
01/11/06 20:06:24 [Note]: 7011 1292
01/11/06 20:06:25 [Note]: FSRAW library version 1.7.1014
01/11/06 20:07:00 [Note]: 7007 0

die fehlermeldung schreibt: the script requires windwos managment Instrumentation to run...