hallo

ich habe seit gestern so ein blödes ausrufezeichen immer mal im system-tray, was mich auf spyware-infektion aufmerksam macht. beim draufklicken werd ich immer auf andere seiten gebracht, die mir anti-spyware-tools verkaufen wollen, ich denke ihr kennt dies problem.

mein hijackthis-log ist meiner meinung nach sauber. (außer dieses O2 ist mir neu.)
mein antivir hat zwar drei trojaner gefunden ("TR/FakeAlert.AA", "TR/Dldr.Zlob.go.2", "TR/Drop.Zlob.GW.1"), welche aber anscheinend auch problemlos gelöscht wurden.

naja... lange rede kurzer sinn, schaut sich jemand bitte mal mein log an, damit ich wenigstens das ausschließen kann. und vielleicht hat ja noch wer nen klasse einfall, was es sein kann und wie ich am besten vorgehe.

Danke! xenID

ps: vielleicht ein wichtiger hinweis.
es öffnen sich seit diesem problem auch immer ie-popup-fenster, obwohl ich den firefox nutze, der den popup-blocker als aktiv geschaltet hat.

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 12:26:46, on 08.03.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\mssearchnet.exe
C:\WINNT\system32\nvctrl.exe
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\Programme\D-Link\AirPlus Xtreme G\AirPlusCFG.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\MSI\3D!Turbo 2000\vgauti.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
E:\programme\palm\HOTSYNC.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Media Player Classic\mplayerc.exe
E:\messengers\Trillian\trillian.exe
C:\totalcmd\TOTALCMD.EXE
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
E:\programme\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
O2 - BHO: (no name) - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [D-Link AirPlus Xtreme G] C:\Programme\D-Link\AirPlus Xtreme G\AirPlusCFG.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [HijackThis startup scan] E:\programme\HijackThis.exe /startupscan
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - Startup: HotSync Manager.lnk = E:\programme\palm\HOTSYNC.EXE
O4 - Global Startup: 3D!Turbo 2000.lnk = C:\Programme\MSI\3D!Turbo 2000\vgauti.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1F4715A2-843F-453B-AC55-48ABE02A5347}: NameServer = 195.50.140.252 195.50.140.114
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe (file missing)

hallo,

dein logfile ist deiner meinung nach sauber..
aber ich denke das es das nicht ist.
lasse bitte diesen eintrag:

C:\WINNT\system32\nvctrl.exe

online bei jotti prüfen und teile das ergebniss bitte hier mit..

thx vorerst... mach mich dran.

Hallo,
besorge dir noch folgendes Tool, entpacke es, gehe in den abgesicherten Modus (F8 beim booten), und führe die runthis.bat aus. Dann postest du den Inhalt der Datei C:\smitfiles.txt.
Außerdem löschst du deine Temp-Dateien mit cleanup! und machst dann mal noch folgendes und postest die vier Logfiles, nur die Dateien des letzten Monats abkopieren.



Grüße Wildone

wer ist jotti?

aber bei "virus-total" sagt mir das ergebnis:

Zitat:

AntiVir 6.34.0.53 03.08.2006 no virus found
Avast 4.6.695.0 03.06.2006 no virus found
AVG 718 03.07.2006 no virus found
Avira 6.33.1.53 03.07.2006 no virus found
BitDefender 7.2 03.08.2006 Generic.Malware.Ssp.C7FED2B2
CAT-QuickHeal 8.00 03.07.2006 (Suspicious) - DNAScan
ClamAV devel-20060126 03.07.2006 no virus found
DrWeb 4.33 03.08.2006 no virus found
eTrust-InoculateIT 23.71.96 03.08.2006 no virus found
eTrust-Vet 12.4.2110 03.08.2006 no virus found
Ewido 3.5 03.08.2006 no virus found
Fortinet 2.71.0.0 03.07.2006 suspicious
F-Prot 3.16c 03.08.2006 no virus found
Ikarus 0.2.59.0 03.07.2006 no virus found
Kaspersky 4.0.2.24 03.08.2006 no virus found
McAfee 4712 03.07.2006 no virus found
NOD32v2 1.1432 03.06.2006 no virus found
Norman 5.70.10 03.07.2006 no virus found
Panda 9.0.0.4 03.07.2006 Suspicious file
Sophos 4.03.0 03.08.2006 no virus found
Symantec 8.0 03.08.2006 no virus found
TheHacker 5.9.5.108 03.07.2006 no virus found
UNA 1.83 03.07.2006 no virus found
VBA32 3.10.5 03.08.2006 no virus found

was mach ich nun mit dem "Generic.Malware.Ssp.C7FED2B2" ... kann ich die datei einfach löschen?

Hallo,
arbeite mal das ab was ich gepostet habe, sowohl die nvctrl.exe als auch die mssearchnet.exe sind Trojaner, werden aber normalerweise automatisch von dem oben genannten Tool gelöscht.

P.S. Schwarz ist mir als Farbe für Schrift am liebsten...


Grüße Wildone

die datbat-sache hab ich schon da...

Zitat:

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 1014-C70A

Verzeichnis von C:\WINNT\system32

08.03.2006 13:27 5.032 ncompat.tlb
08.03.2006 12:46 429 datFind.bat
08.03.2006 09:22 6.656 msvol.tlb
07.03.2006 18:46 16.408 nvctrl.exe
07.03.2006 18:46 4.286 ot.ico
07.03.2006 18:46 4.286 ts.ico
07.03.2006 18:46 9.864 mssearchnet.exe
07.03.2006 18:39 14.949 dfrgsrv.exe
27.02.2006 20:51 100.352 dfrg.msc
23.02.2006 13:06 192.184 FNTCACHE.DAT
27.01.2006 20:27 115 EPPICResdb
27.01.2006 20:27 4.543 EPPICResdb0000
18.01.2006 13:05 57.344 avsda.dll

Zitat:

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 1014-C70A

Verzeichnis von C:\DOKUME~1\xenid\LOKALE~1\Temp

08.03.2006 12:15 137 live.smil-1.smi
08.03.2006 01:47 21.176 deadidas.bmp
08.03.2006 01:47 8.118 peanuts.bmp
08.03.2006 01:47 8.118 doodle.bmp
07.03.2006 19:03 10.134 dat63.tmp
07.03.2006 13:28 174 WMF4.tmp
07.03.2006 13:20 25.063 Zeichng1_1_1_3891.bak
07.03.2006 12:24 2 Twain001.Mtx
07.03.2006 12:23 156 Twunk001.MTX
07.03.2006 12:23 0 Twunk002.MTX
07.03.2006 12:23 219 TWAIN.LOG
06.03.2006 21:30 0 lt1F.tmp
06.03.2006 15:25 1.015.809 PNX4.tmp
06.03.2006 09:25 137 live.smil.smi
02.03.2006 20:54 122 8A56EAB7.TMP
01.03.2006 15:26 137 live.smil-16.smi
12.10.2004 11:14 57.344 InstHelp.dll
17 Datei(en) 1.146.846 Bytes
0 Verzeichnis(se), 4.526.710.784 Bytes frei

Zitat:

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 1014-C70A

Verzeichnis von C:\WINNT

08.03.2006 13:29 1.628 wincmd.ini
08.03.2006 12:48 746.716 ShellIconCache
08.03.2006 11:22 155 winamp.ini
08.03.2006 03:35 32.632 SchedLgU.Txt
08.03.2006 01:38 778 wininit.ini
07.03.2006 19:32 71.268 ntbtlog.txt
06.03.2006 17:30 69 NeroDigital.ini
05.03.2006 19:56 1.771 cdplayer.ini
01.03.2006 08:53 645.220 setupapi.log
28.02.2006 21:40 12.862 EPISMG00.SWB
28.02.2006 19:37 1.664 ModemLog_TOSHIBA Software Modem AMR.txt
22.02.2006 21:06 3.312 tm.ini
22.02.2006 21:05 140 tdf.dii
22.02.2006 20:57 1.376 win.ini
07.02.2006 17:36 238 ODBC.INI
30.01.2006 20:45 1.364.022 ACD Wallpaper.cmp
17.01.2006 20:18 4.118 Active Setup Log.txt

Zitat:

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 1014-C70A

Verzeichnis von C:\

08.03.2006 13:32 0 sys.txt
08.03.2006 13:31 8.891 system.txt
08.03.2006 13:31 1.133 systemtemp.txt
08.03.2006 13:29 103.735 system32.txt
08.03.2006 09:18 536.870.912 pagefile.sys
04.02.2006 10:40 4 timestmp.tmp
22.12.2005 00:32 13.030 PDOXUSRS.NET
27.08.2005 13:29 856 flashplayer.xpt
31.07.2004 21:36 216.096 ntldr
31.07.2004 21:36 34.724 NTDETECT.COM
22.07.2004 16:54 192 boot.ini
22.07.2004 16:05 0 IO.SYS
22.07.2004 16:05 0 CONFIG.SYS
22.07.2004 16:05 0 MSDOS.SYS
22.07.2004 16:05 0 AUTOEXEC.BAT
19.06.2003 11:05 163.840 arcsetup.exe
19.06.2003 11:05 150.528 arcldr.exe
17 Datei(en) 537.563.941 Bytes
0 Verzeichnis(se), 4.526.702.592 Bytes frei

so... irgendwie bin ich es zwar leid diese ganzen tools zu nutzen, sieht ja keiner mehr durch, aber ich vertrau mal drauf und mach was man mir hier rät.

soweit xenID

ps:farbe geändert

Hallo,

Zitat:

so... irgendwie bin ich es zwar leid diese ganzen tools zu nutzen, sieht ja keiner mehr durch,

Tja, du kannst das system auch neu aufsetzen, dann brauchst du keine Tools verwenden.
Es wäre übrigens besser gewesen du das ganze auch in der Reihenfolge abgearbeitet hättest wie ich es gepostet habe, habe mir dabei schon etwas gedacht.

P.S. Warum hast du die datfind.bat im System32 Ordner gespeichert, der ist normalerweise nur für Systemdateien und Viren reserviert.

Grüße Wildone