Habe seit 2 Tagen sehr nervige popups die sich immer öfter öfnen auch wenn ich denn Iexplorer garnicht geöfnet habe kommen sie... Hatte allerdings auch 2 Viren auf dem Rechner 1. Win32.Delf.aml und 2. Win32.Procin.g diese habe ich aber bereits vom System gebannt. Habe dafür die datei msupdate32.dll kicken müssen weil sie verseucht war deswegen jetzt gleich im HiJack Log die Winlogon filemissing aussage nicht beachten...

Nun das HiJack Log

Logfile of HijackThis v1.99.1
Scan saved at 13:08:20, on 13.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\****\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O3 - Toolbar: VisuExplorer - {92E1B3F7-0546-421E-9835-904D25B7BA66} - C:\WINDOWS\system32\msiev32.dll
O4 - HKLM\..\Run: [Microsoft Windows Session Manager Subsystem] C:\WINDOWS\smss.exe
O4 - HKLM\..\Run: [Microsoft Windows Logon Process] C:\WINDOWS\winlogon.exe
O4 - HKLM\..\Run: [KAV50] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss
O4 - HKCU\..\Run: [Steam] D:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\system32\i2lolc331f.dll
O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing)
O23 - Service: Windows Logon Process Service (MSWinLogonProcService) - Unknown owner - C:\WINDOWS\winlogon.exe" -service (file missing)

Die Datei Secure32.dll habe ich bereits gekickt weil ich diese nicht kenne und nicht von mir stammt...

Hoffe ihr könnt mir helfen...

Danke im vorraus

Marcel

Hab mal einige einträge gefixt aber Popups kommen trotzdem noch...

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://searchbar.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

So diese einträge sind alle gefixt aber Problem besteht immer noch hier der aktuelle HiJack Log

Logfile of HijackThis v1.99.1
Scan saved at 13:27:44, on 13.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\****\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O4 - HKLM\..\Run: [Microsoft Windows Session Manager Subsystem] C:\WINDOWS\smss.exe
O4 - HKLM\..\Run: [Microsoft Windows Logon Process] C:\WINDOWS\winlogon.exe
O4 - HKLM\..\Run: [KAV50] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss
O4 - HKCU\..\Run: [Steam] D:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\system32\i2lolc331f.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing)
O23 - Service: Windows Logon Process Service (MSWinLogonProcService) - Unknown owner - C:\WINDOWS\winlogon.exe" -service (file missing)

Danke

Marcel

Servus!

Bei Dir läuft leider etwas mehr als nur nervige Adware.

Zitat:

O4 - HKLM\..\Run: [Microsoft Windows Session Manager Subsystem] C:\WINDOWS\smss.exe
O4 - HKLM\..\Run: [Microsoft Windows Logon Process] C:\WINDOWS\winlogon.exe

Diese Einträge gehör/t/en zu dem hier.
Da kann und will ich Dir nur noch den Rat geben, Dein System neu aufzusetzen. Cidre hat dort in seiner Anleitung ausreichend erklärt/verlinkt, warum das bei einem derartigen Befall die einzig sinnvolle Maßnahme ist. Alles andere ist sinnlose Bastelei!

stupormundi

Besteht denn die Möglichkeit die Datei Winlogonexe und Smss.exe unter Dos Manuel zu löschen und diese danach wieder neu rein zu kopieren? Hätte noch ein Windows XP System welches nicht fürs Netz gedacht ist und rein ist davon kann ich die Datein nehmen...

Mfg

Marcel

Nein!
Lies Dir die Anleitung von Cidre durch!
Da gibts kein Basteln!

stupormundi

Hallo,

wollt nur nochmal stupormundi zustimmen,basteln hilft nicht..
neuaufsetzen ordentlich absichern...

Hallo,

Meinungsverstärker! Alles andere als Neuaufsetzen ist nur Doktorei. Keiner kann Dir sagen, was Du in der Zwischenzeit auf Deinem System hast.

Hallo stupormundi
[edit]Hallo hoerni [/edit]

Gruß

Schrulli

Hallo, Schrulli und Hoerni26!
gts, stupormundi

Ok dann werde ich da wohl nicht drum herum kommen... Schade da das System gearde mal 2 wochen drauf ist...

Wie kommt denn so was...

Habe die Windows Firewall an und Kaspersky mit neusten updates drauf dazu die Firewall im Router noch an und gehe fast ausschließlich über Firefox ins Netzt...

Bitte um Rat...

Jetzt kann ich Dich zum wiederholten Mal nur auf Cidres Anleitung verweisen: Wenn Du seine 12 Punkte zur Absicherung des Systems ansiehst, wirst Du sicher bemerken, dass Du wohl in diesen letzten zwei Wochen irgend etwas falsch gemacht hast. So ein Backdoor/Proxy kommt nicht aus dem Nichts!

Was die Tauglichkeit der einzelnen Programme angeht ...: Nun, Du als User bist die entscheidende Instanz. Da hilft Dir kein Scanner und keine PFW.

stupormundi
~~edit~~ ja, ein Kaffee wär' jetzt gut~~/edit~~

Hallo,

kommt etwas auf Dein Surf- und Softwarebezugsverhalten an.
Der ganze Aufwand von wegen alternativer Browser etc. bringt wenig, wenn man sich die Sachen freiwillig a lá "bester_Crack_für_hL2.txt.exe" ins Haus holt!
Nur so ein Tip ohne Bezug auf irgendwas

Gruß

[edit]ich such jetzt mal mit Kaffee anstossende Smilies [/edit]

Schrulli

Danke für die Tips... Stupermondi und Schrulli habe mir die Sachen durchgelesen und alles genau so gemacht wie es da aufgeführt ist. Ich nehme nur sachen an von Siten wo ich weiß das es nicht schädlich ist und Cracks lade ich sowieso nicht weil ich nur Orginal Spiele habe zwecks online Account usw. Das einzige was ich mache was ich nicht abstreiten kann ist ab und zu eine Mp3 zu laden kann diese denn auch solche Sachen enthalten? Da Kaspersky diese ja Scant bevor sie auf die Platte kommen...

Mfg

Marcel

So habe jetzt das System nach der Anleitung neu aufgesetzt. und hoffe jetzt ist es sauber setzte anbei den Aktuellen HiJack log rein...

Danke an alle

Hurry

Logfile of HijackThis v1.99.1
Scan saved at 15:31:45, on 13.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [KAV50] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss
O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /O5 "LPT1:" /M "Stylus Photo R200"
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing)

Hallo,

für einen neuen Rechner sisht das kurze Log ganz normal aus.

Hast Du die Anleitung zum Neuaufsetzten beachtet?

Gruß

Schrulli

Ja habe ich Schrulli bin erst online gegangen nach dem alles drauf war sprich Kaspersky, Spybot, WEP und die Firewalls aktiv waren...

Hätte ich beinah vergessen Xpantispy natürlich auch und alle sende sachen ausgeschaltet und autodownloads auch...

Dank Dir nochmals für die Tips

Hurry