Hallo Wildone,

vielen Dank für's Helfen. Jetzt sieht es wieder gut aus. Keine Pop-Ups oder Verlinkseiten mehr und auch keine dubiosen Warnungen vor irgendwelchen Spyware-Angriffen etc.

Darauf gebe ich einen aus! :-)

Bis denne....

Hallo,ich habe genau dasselbe Problem wie der Threadstarter.Hoffe einer von euch kann mir irgendwie helfen.
Hier eine Logfile von HJT:
Logfile of HijackThis v1.99.1
Scan saved at 13:23:28, on 10.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\COMMON~1\MCROSO~1.NET\lsass.exe
C:\WINDOWS\?dobe\?xplorer.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/startcenter/redirect/fla-vod-0409-legalundgenial.htm
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hpA4F5.tmp (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKCU\..\Run: [Tcot] "C:\PROGRA~1\COMMON~1\MCROSO~1.NET\lsass.exe" -vt ndrv
O4 - HKCU\..\Run: [Hddh] C:\WINDOWS\?dobe\?xplorer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=5071
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/4h/player.virtools.com/downloads/player/Install3.5/Installer.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B5E2308B-CBA8-4C77-B63F-5FEF26A45E0B}: NameServer = 217.237.151.225 217.237.150.225
O20 - Winlogon Notify: winghy32 - winghy32.dll (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Und hier die 4 Logfiles der datfindbat:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC4C-70F6

Verzeichnis von C:\WINDOWS\system32

10.04.2006 13:50 6.144 interf.tlb
09.04.2006 12:14 13.646 wpa.dbl
06.04.2006 16:24 5.040 ncompat.tlb
05.04.2006 20:50 2 stera.job
02.04.2006 22:52 16.568 nvctrl.exe
31.03.2006 23:27 154 AdService.bat
31.03.2006 15:03 4.286 ot.ico
31.03.2006 15:03 4.286 ts.ico
30.03.2006 23:47 2 wnsapicc.exe
28.03.2006 17:09 285.312 FNTCACHE.DAT
27.03.2006 21:34 2 tasklist.com
27.03.2006 21:34 2 taskkill.com
27.03.2006 21:34 2 ping.com
27.03.2006 21:34 2 cmd.com
27.03.2006 21:34 2 netstat.com
27.03.2006 21:34 2 tracert.com
27.03.2006 21:34 2 regedit.com
26.03.2006 15:20 380.350 perfh009.dat
26.03.2006 15:20 391.000 perfh007.dat
26.03.2006 15:20 52.764 perfc009.dat
26.03.2006 15:20 63.580 perfc007.dat
26.03.2006 15:20 897.954 PerfStringBackup.INI
10.03.2006 02:10 4.799.320 MRT.exe


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC4C-70F6

Verzeichnis von C:\DOKUME~1\David\LOKALE~1\Temp

10.04.2006 13:53 16.384 Perflib_Perfdata_748.dat
10.04.2006 13:50 222 jusched.log
2 Datei(en) 16.606 Bytes
0 Verzeichnis(se), 51.695.755.264 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC4C-70F6

Verzeichnis von C:\WINDOWS

10.04.2006 13:10 0 0.log
10.04.2006 13:10 1.907.707 WindowsUpdate.log
10.04.2006 13:10 2.048 bootstat.dat
10.04.2006 11:54 32.566 SchedLgU.Txt
06.04.2006 22:27 205.964 wmsetup.log
06.04.2006 16:28 216 wiadebug.log
06.04.2006 15:41 50 wiaservc.log
06.04.2006 15:27 9.300 DtcInstall.log
31.03.2006 18:56 95 winamp.ini
31.03.2006 18:14 49 NeroDigital.ini
31.03.2006 15:02 39.424 mtuninst.exe
31.03.2006 15:02 28.292 setupapi.log


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC4C-70F6

Verzeichnis von C:\

10.04.2006 14:07 0 sys.txt
10.04.2006 14:07 9.276 system.txt
10.04.2006 14:07 354 systemtemp.txt
10.04.2006 14:07 96.577 system32.txt
10.04.2006 13:09 402.653.184 pagefile.sys

Hallo,
nein du hast ungleich größere Probleme wie der TE, z.B dadurch:
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKCU\..\Run: [Hddh] C:\WINDOWS\?dobe\?xplorer.exe (wahrscheinlich Purityscan oder ähnlich, da bin ich bei der Beseitigung noch höchst schwach auf der Brust.

Fangen wir erst mal mit den Punkten zwei und drei meines ersten Postings an.
*erledig*
Edit:
Poste mal noch mal die Logfiles, dieses mal die Dateien der letzten drei Monate abkopieren, da ist ja jetzt schon so einiges zu finden.

Ach ja, hast du Acronis Trueimage nur zum Spass, oder hast du ein sauberes Image in der Hinterhand?



Grüße Wildone

Mmmm,also Acronis True Image benötige ich eig. nicht,also habs auch noch nicht benutzt.Hab auch noch all die Programme drauf, die meine Familie vorher benutzte,hab vorletztes Jahr ne eigene Festplatte bekommen.Also hier die Logfiles dieses jahres:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC4C-70F6

Verzeichnis von C:\WINDOWS\system32

10.04.2006 13:50 6.144 interf.tlb
09.04.2006 12:14 13.646 wpa.dbl
05.04.2006 20:50 2 stera.job
02.04.2006 22:52 16.568 nvctrl.exe
31.03.2006 23:27 154 AdService.bat
30.03.2006 23:47 2 wnsapicc.exe
28.03.2006 17:09 285.312 FNTCACHE.DAT
27.03.2006 21:34 2 ping.com
27.03.2006 21:34 2 netstat.com
27.03.2006 21:34 2 regedit.com
27.03.2006 21:34 2 tasklist.com
27.03.2006 21:34 2 tracert.com
27.03.2006 21:34 2 cmd.com
27.03.2006 21:34 2 taskkill.com
26.03.2006 15:20 380.350 perfh009.dat
26.03.2006 15:20 52.764 perfc009.dat
26.03.2006 15:20 391.000 perfh007.dat
26.03.2006 15:20 63.580 perfc007.dat
26.03.2006 15:20 897.954 PerfStringBackup.INI
10.03.2006 02:10 4.799.320 MRT.exe
18.02.2006 13:29 3.089 MRT.INI
18.01.2006 13:05 57.344 avsda.dll
04.01.2006 05:35 68.096 webclnt.dll
02.01.2006 21:05 62.464 bszip.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC4C-70F6

Verzeichnis von C:\DOKUME~1\David\LOKALE~1\Temp

10.04.2006 13:53 16.384 Perflib_Perfdata_748.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 51.800.293.376 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC4C-70F6

Verzeichnis von C:\WINDOWS

10.04.2006 14:12 178.894 setupact.log
10.04.2006 13:10 0 0.log
10.04.2006 13:10 1.907.707 WindowsUpdate.log
10.04.2006 13:10 2.048 bootstat.dat
10.04.2006 11:54 32.566 SchedLgU.Txt
06.04.2006 22:27 205.964 wmsetup.log
06.04.2006 16:28 216 wiadebug.log
06.04.2006 15:41 50 wiaservc.log
06.04.2006 15:27 9.300 DtcInstall.log
31.03.2006 18:56 95 winamp.ini
31.03.2006 18:14 49 NeroDigital.ini
31.03.2006 15:02 39.424 mtuninst.exe
31.03.2006 15:02 28.292 setupapi.log
19.02.2006 16:22 30.236 spupdsvc.log
18.02.2006 13:31 169.391 comsetup.log
18.02.2006 13:31 101.930 ntdtcsetup.log
18.02.2006 13:31 74.165 iis6.log
18.02.2006 13:31 186.896 tsoc.log
18.02.2006 13:31 24.316 ocmsn.log
18.02.2006 13:31 1.374 imsins.log
18.02.2006 13:31 12.949 KB911927.log
18.02.2006 13:31 245.997 ocgen.log
18.02.2006 13:31 24.263 msgsocm.log
18.02.2006 13:31 473.901 FaxSetup.log
18.02.2006 13:31 22.636 updspapi.log
18.02.2006 13:31 1.374 imsins.BAK
18.02.2006 13:31 9.581 KB911564.log
18.02.2006 13:31 10.118 KB911565.log
18.02.2006 13:30 9.083 KB913446.log
09.02.2006 23:15 34 cdplayer.ini
10.01.2006 22:23 10.134 KB908519.log
06.01.2006 04:01 11.035 KB912919.log
01.01.2006 04:05 1.032.563 setupapi.log.0.old


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC4C-70F6

Verzeichnis von C:\

10.04.2006 14:23 0 sys.txt
10.04.2006 14:22 9.276 system.txt
10.04.2006 14:22 305 systemtemp.txt
10.04.2006 14:16 96.440 system32.txt
10.04.2006 14:12 3.632 smitfiles.txt
10.04.2006 13:09 402.653.184 pagefile.sys

Hallo,

Zitat:

Mmmm,also Acronis True Image benötige ich eig. nicht,also habs auch noch nicht benutzt.Hab auch noch all die Programme drauf, die meine Familie vorher benutzte,hab vorletztes Jahr ne eigene Festplatte bekommen.Also hier die Logfiles dieses jahres:

Wäre ja auch zu schön gewesen, deine Familie ist anscheinend besser gegen Malware gewappnet als du, aber dazu mehr an einer anderen Stelle, könnte noch ein langer Nachmittag werden.

Beende erstmal noch folgende Prozess im Taskmanager:
C:\PROGRA~1\COMMON~1\MCROSO~1.NET\lsass.exe

überprüfe die zugehörige Datei hier, und poste das Ergebnis.


Grüße Wildone

Zitat:

Zitat von Wildone

Hallo,

Wäre ja auch zu schön gewesen, deine Familie ist anscheinend besser gegen Malware gewappnet als du, aber dazu mehr an einer anderen Stelle, könnte noch ein langer Nachmittag werden.

Beende erstmal noch folgende Prozess im Taskmanager:
C:\PROGRA~1\COMMON~1\MCROSO~1.NET\lsass.exe

überprüfe die zugehörige Datei hier, und poste das Ergebnis.


Grüße Wildone

Mmmh,bekomme folgende Antwort:
"Der Task Manager konnte diesen kritischen Systemprozess nicht beenden"
Was nun?

Hallo,
ups, ja mein Fehler.
Im Taskmanager ist ja der Systemprozess von dem potenziellen Virus nicht zu unterscheiden. Gehe mal in den abgesicherten Modus (F8 beim booten), und benenne die Datei:
C:\PROGRA~1\COMMON~1\MCROSO~1.NET\lsass.exe
um (von mir aus in virus.exe oder ähnlich. Gehe dann wieder in den normalen Modus und überprüfe diese umgenannte Datei.


Grüße Wildone

Hallo,
also erst einmal schonmal DANKE dass du mir behilflich bist.Bin jetzt allerdings nicht so der PC experte was fachbegriffe und so angeht,also könntes du mir evtl verraten was man unter booten versteht?!
Gruß,David
EDIT: Okay,Google hat geholfen,also ich starte den PC neu,und dabei drücke ich die Taste "F8" wenn ich es richtig gelesen habe?!

Hallo,
ich sehe schon, wir werden noch viel Spass haben. Aber frage ruhig immer nach, ist ja noch kein Meister vom Himmel gefallen.
booten heißt hochfahen oder System starten. Also während das System startet drückst du mehrmals auf F8 dann sollte ein Menü mit der Option "System im abgesicherten Modus starten" erscheinen.

Edit
Ja korrekt. bei der nächsten Frage vorher google bedienen und dann fragen.


Grüße Wildone

Okay alles klaro.Dankeschön,werde ich dann jetzt mal machen.
Gruß

So,okay,hab "lsass.exe" in virus umbenannt,allerdings zeigt der Task Manager immer noch "lsass.exe" an?!

Hallo,
das ist schon in Ordnung, das ist jetzt der Systemprozess lsass.exe, überprüfe die umbenannte Datei bei virustotal und her mit dem Ergebnis.



Grüße Wildone

"Analysis service has stopped.
Your response can take an undefined time. If you prefer receiving it by email when the service is restarted please fill in your email address:"

Funzt anscheinend nicht im moment?!
Gruß,David

Hallo,
irgendwie flutscht das heute aber nicht. Versuche es hier (sieht im Moment auch nicht gut aus) oder hier.


Grüße Wildone