Hallo,

Habe zwar schon ein wenig Kenntnisse im Umgang mit PC's usw. aber ich schaffe es einfach nicht, meinen PC wieder von der Seuche an Adware zu befreien. Habe es mit diversen Programmen versucht und auch die Dateien gegebenenfalls per Hand zu löschen. Aber mehr oder weniger ohne Erfolg, denn spätestens nach 2 Stunden werde ich wieder mit Pop-Ups bombadiert.

Dazu möchte ich schonmal die Frage stellen, was die Prozesse "akcri.exe" und "jbknio.exe", ich denke diese sind unter anderem die Bedrohung. Die Prozesse lassen sich nicht killen, bzw. starten sich sofort wieder neu.

Hier erstmal das HijackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 17:03:07, on 23.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SYSTEM32\USRshutA.exe
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Anti-SSK\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F2 - REG:system.ini: Shell=Explorer.exe, C:\WINDOWS\system32\akcri.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,lfiusti.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [USRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2005\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2005\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2005\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {47F80A65-62B3-4D0E-9F4C-8EC2FA65365C} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {47F80A65-62B3-4D0E-9F4C-8EC2FA65365C} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - h**p://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - C:\Programme\Spyware Doctor\sdhelp.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: WTScheduler - Unknown owner - C:\Programme\WinTask\Bin\SchedSrv.exe

Danke schonmal für eure Bemühungen,
Chaoskind

Hallo,

diese:

C:\WINDOWS\system32\akcri.exe
lfiusti.exe (suchen)

bei http://www.virustotal.com scannen lassen, Ergebnis hier posten.

Gruß

Schrulli

Diese Antwort klingt vielleicht etwas verwirrend aber

C:\WINDOWS\system32\akcri.exe exisiert nicht
ich kann aber auch keine Datei in diesem Ordner in "akcri.exe" umbenennen, dann sagt Win wieder, dass die Datei schon existiert.
Ich konnte die Datei akcri.exe auch nirgends anders finden ...

Gruß,
Chaoskind

Die Datei muss aber da sein....

klick mich,ich zeige Dir wie es geht

Gruß Mellosun

@Mellosun

Ich habe in diesem Thread mit dem "ein wenig Ahnung von PC's" sagen wollen, dass ich schon so gut drauf bin, erweiterungen einzublenden, versteckte zu zeigen und die Windows-Suche zu bedienen.

Ich würde die Datei sicher finden, aber sie existiert da scheinbar so nicht.

Naja ich versuche es mal weiter...

Trotzdem danke,
Chaoskind

Hallo,

findest Du denn die andere Datei? Und vertshe ich Dich richtig, dass Dir Windows sagt, die Datei sei schon vorhanden, wenn Du eine gleichnamige erstellen willst?
Kopiere den Paf via copy + paste in das Feld bei virustotal und klicke auf send.

Gruß

Schrulli

Hallo,

Habe es mit einem Reboot versucht und jetzt ist die Datei zurück

Virustotal sagt:
Your file "akcri.exe" is queued in position: 39. Estimated start time is between 52 and 227 seconds.

Das andere File finde ich nicht...

Gruß,
Chaoskind

Zitat:

Zitat von Chaoskind

Virustotal sagt:
Your file "akcri.exe" is queued in position: 39. Estimated start time is between 52 and 227 seconds.

Das heißt, du bist in der Warteschlange....die Datei wird in 227 Secunden gescannt!
Also warten und Ergebnis Posten!

Hallo,

Complete scanning result of "akcri.exe", received in VirusTotal at 06.23.2006, 17:51:15 (CET).

AntiVir 6.35.0.16 06.23.2006 TR/Dldr.Qoolog.bj.3
Authentium 4.93.8 06.23.2006 W32/Downloader.SJB
Avast 4.7.844.0 06.23.2006 Win32:Qoologic-AI
AVG 386 06.23.2006 Downloader.Generic.UEO
BitDefender 7.2 06.23.2006 Trojan.Downloader.Qoologic.BC
CAT-QuickHeal 8.00 06.23.2006 TrojanDownloader.Qoologic.bj
ClamAV devel-20060426 06.23.2006 no virus found
DrWeb 4.33 06.23.2006 Trojan.Qoologic
eTrust-InoculateIT 23.72.47 06.23.2006 Win32/Qoologic.28672!Trojan
eTrust-Vet 12.6.2272 06.23.2006 Win32/Qoologic.AB
Ewido 3.5 06.23.2006 Downloader.Qoologic.bj
Fortinet 2.77.0.0 06.23.2006 W32/Qoologic.BJ!tr.dldr
F-Prot 3.16f 06.23.2006 security risk named W32/Downloader.SJB
Ikarus 0.2.65.0 06.23.2006 Trojan-Downloader.Win32.Qoologic.BJ
Kaspersky 4.0.2.24 06.23.2006 Trojan-Downloader.Win32.Qoologic.bj
McAfee 4792 06.23.2006 Qoolaid
Microsoft 1.1481 06.23.2006 Adware-Qoologic (threat-c)
NOD32v2 1.1617 06.23.2006 Win32/TrojanDownloader.Qoologic.BJ
Norman 5.90.21 06.23.2006 W32/Qoologic.HW
Panda 9.0.0.4 06.23.2006 Trj/Qoologic.J
Sophos 4.06.0 06.23.2006 Troj/Qoolaid-AL
Symantec 8.0 06.23.2006 no virus found
TheHacker 5.9.8.164 06.23.2006 Trojan/Downloader.Qoologic.bj
UNA 1.83 06.23.2006 TrojanDownloader.Win32.Qoologic
VBA32 3.11.0 06.22.2006 Trojan-Downloader.Win32.Qoologic.bj
VirusBuster 4.3.7:9 06.23.2006 Trojan.DL.Qoologic.AI

File size: 28672 bytes
MD5: 34927efd7594648462bb18e713ada55f
SHA1: f49480c5459f3f9438d50501c2b62267371fc9c1

Klingt böse ...

Jepp, klingt Böse!

Hast diesen
im System. Mein Englisch ist net wirklich gut aber ich glaube, der hat Backdoor Funktionen.

Also sollte eine Neuaufsetzung gemacht werden.

Aber warte bitte, ob Schrulli was anderes meint. Er macht das schon länger!


Gruß Mellosun

Das hat er zur anderen Datei die nicht zu löschen ist) gesagt:

Complete scanning result of "jbknio.exe", received in VirusTotal at 06.23.2006, 18:07:20 (CET).

Antivirus Version Update Result
AntiVir 6.35.0.16 06.23.2006 TR/Dldr.Qoologic.BJ.2
Authentium 4.93.8 06.23.2006 W32/Downloader.SKF
Avast 4.7.844.0 06.23.2006 Win32:Qoologic-AK
AVG 386 06.23.2006 Downloader.Generic.VUO
BitDefender 7.2 06.23.2006 Trojan.Downloader.Qoologic.BC
CAT-QuickHeal 8.00 06.23.2006 TrojanDownloader.Qoologic.bj
ClamAV devel-20060426 06.23.2006 no virus found
DrWeb 4.33 06.23.2006 Trojan.Qoologic
eTrust-InoculateIT 23.72.47 06.23.2006 Win32/Qoologic.127488!Trojan
eTrust-Vet 12.6.2272 06.23.2006 Win32/Qoologic.AB
Ewido 3.5 06.23.2006 Downloader.Qoologic.bj
Fortinet 2.77.0.0 06.23.2006 W32/Qoologic.BJ!tr.dldr
F-Prot 3.16f 06.23.2006 security risk named W32/Downloader.SKF
Ikarus 0.2.65.0 06.23.2006 Trojan-Downloader.Win32.Qoologic.BJ
Kaspersky 4.0.2.24 06.23.2006 Trojan-Downloader.Win32.Qoologic.bj
McAfee 4792 06.23.2006 Qoolaid
Microsoft 1.1481 06.23.2006 Adware-Qoologic (threat-c)
NOD32v2 1.1617 06.23.2006 Win32/TrojanDownloader.Qoologic
Norman 5.90.21 06.23.2006 W32/Qoologic.HT
Panda 9.0.0.4 06.23.2006 Adware/Qoologic
Sophos 4.06.0 06.23.2006 Troj/Qoolaid-AL
Symantec 8.0 06.23.2006 no virus found
TheHacker 5.9.8.164 06.23.2006 Trojan/Downloader.Qoologic.bj
UNA 1.83 06.23.2006 TrojanDownloader.Win32.Qoologic
VBA32 3.11.0 06.22.2006 Trojan-Downloader.Win32.Qoologic.bj
VirusBuster 4.3.7:9 06.23.2006 Trojan.DL.Qoologic.AJ

Das System neu aufsetzen möchte ich zwar nicht so gerne aber wenn es nicht anders geht werde ich es wohl mal machen, aber ich warte noch ...

Gruß,
Chaoskind

Hallo Chaoskind,

Zitat:

aber ich warte noch

Auf was ?
Das wird sich garantiert nicht von alleine regeln.....
Irrlicht

Scanne Dein System mit F-Secure Blacklight und poste das Log.
Prüfe Dein System mit Ewido Antimalware 3.5 Link dazu http://www.ewido.net/de/
Poste das Log-File.

Anschliessend neues Log von HJT.

Falscher Thread, sorry