Wäre cool, wenn ihr mal meinen Log auswerten würdet. Bekomme laufend PopUps und irgendwie helfen auchm keine PopUp-Blocker.
Danke


Logfile of HijackThis v1.99.1
Scan saved at 19:11:51, on 08.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\AntiVir\AntiVir PersonalEdition Classic\sched.exe
C:\AntiVir\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\BitTorrent\bittorrent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trillian\trillian.exe
C:\WINDOWS\system32\rundll32.exe
C:\Spybot - Search & Destroy\TeaTimer.exe
C:\Dokumente und Einstellungen\(Sven)\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.webmaxe-media.de/content
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
F2 - REG:system.ini: Shell=
O3 - Toolbar: 180search Toolbar - {93CECBB2-6B1B-448D-91B9-72604EF70105} - C:\Program Files\180search Assistant Programs\180search Toolbar\180ST.dll (file missing)
O3 - Toolbar: FraudEliminator - {A5181F8A-0B9D-43AC-8BE5-EB61651DB685} - C:\Programme\FraudEliminator\2.4.0\FETB.dll
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Spiele\Poker\partypokernet.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Spiele\Poker\partypokernet.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {38D63471-E630-4492-A986-B8C48B79F2F8} (CVideoEgg_ActiveXCtl Object) - http://update.videoegg.com/wintel/VideoEggPublisher.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1149937808140
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\gp88l3lu1.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\AntiVir\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\AntiVir\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe

Guten Abend,

also, es gibt Anzeichen für einen Befall. Allerdings weiß ich noch nicht genau, was Dich Ärgert!


Mache mal bitte einen eScan. Anleitung gibts hier.

Ein Grund für Deine Probleme:

C:\Programme\BitTorrent\bittorrent.exe

Ich selbst, nutze auch eMule und das schon über ein Jahr. Aber ich weiß damit umzugehen und das solltest du auch, oder es lassen!

Gruß Mellosun

Hi, ich bekomme folgende Meldung:

1. Der Text, den Sie eingegeben haben, besteht aus 1633746 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen.

Was vom e-scan Log möchtest du denn haben...

Hallo,

lass zusätzlich noch folgende Datei bei Virustotal auswerten:

Zitat:

C:\WINDOWS\system32\gp88l3lu1.dll

dann poste das Ergebnis, einfach den Text markieren, kopieren, und hier in einen Beitrag einfügen. Außerdem das Log vom eScan posten, lies dir dazu nochmal die Anleitung durch, dann passt es auch in den Beitrag (in meiner Signatur!)

Gruß
Daniel

Hi,

also, die Datei, die ich bei Virustotal scannen sollte, existiert aus mir unerklärlichen Gründen bereits nicht mehr. Und was den e-scan Log anbelangt, habe ich alles so wie im Tutorial beschrieben gemacht. Aber vielleicht wird der Log aufgrund meiner 250GB Festplatte so lange??

HILFE

Was heißt die Datei existiert nicht mehr?
Findest du sie nicht? Hast du alle Datein sichtbar gemacht? Ne gute Anleitung in meiner SIG!

Mit dem Log von eScan. Kannst ja auch in zwei Post aufteilen!
Aber normal sollte es in eins passen.


Gruß Mellosun

Ja, habe alle Dateien sichtbar gemacht. Auch die Systemdateien. Nix zu finden.

Wie gesagt, ich habe den e-scan nochmal gemacht.
Länge: 1633746 Zeichen
Erlaubt sind aber nur 250000 Zeichen

Was nun?

Zitat:

Zitat von checcovara

Wie gesagt, ich habe den e-scan nochmal gemacht.
Länge: 1633746 Zeichen
Erlaubt sind aber nur 250000 Zeichen

Was nun?

Anleitung richtig lesen, insbesondere den Teil mit der find.bat.

Gruß
Yopie

Hallo,
eines der drei Tool hier zur Beseitigung verwenden, am besten erstmal den Look2me Remover, danach ein neues HijackThis Log posten.



Grüße Wildone

Hi, also ich habe das mit dem e-scan jetzt geschnallt. Der e-scan hat allerdings über 9h gedauert *kopfschüttel*

Also, hier der e-scan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Jul 09 01:32:43 2006 => System found infected with kazaa Spyware/Adware ({1d6711c8-7154-40bb-8380-3dea45b69cbf})! Action taken: No Action Taken.
Sun Jul 09 01:32:46 2006 => System found infected with p2p networking Spyware/Adware (p2p networking v126.cpl)! Action taken: No Action Taken.
Sun Jul 09 01:32:45 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Sun Jul 09 01:32:45 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Sun Jul 09 01:32:45 2006 => Object "media access Spyware/Adware" found in File System! Action Taken: No Action Taken.
Sun Jul 09 01:32:45 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Sun Jul 09 01:32:46 2006 => Object "topsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Sun Jul 09 01:32:22 2006 => File C:\WINDOWS\system32\kt40l7hm1.dll infected by "Spyware.Unknown" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sun Jul 09 01:32:46 2006 => Offending file found: C:\WINDOWS\system32\p2p networking v126.cpl
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Sun Jul 09 01:32:22 2006 => File C:\WINDOWS\system32\wlfApi.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Sun Jul 09 05:05:20 2006 => File C:\Dokumente und Einstellungen\(xx)\Desktop\Install\BitTorrent-4.9.8-Beta.exe tagged as not-a-virus:RiskTool.Win32.PsKill.n. No Action Taken.
Sun Jul 09 05:33:04 2006 => File C:\Dokumente und Einstellungen\(xx)\Lokale Einstellungen\Temp\BitTorrent-4.20.2.exe tagged as not-a-virus:RiskTool.Win32.PsKill.n. No Action Taken.
Sun Jul 09 05:42:09 2006 => File C:\Programme\BitTorrent\uninstall.exe tagged as not-a-virus:RiskTool.Win32.PsKill.n. No Action Taken.
Sun Jul 09 05:46:15 2006 => File C:\Programme\Gemeinsame Dateien\services.exe tagged as "not-a-virus:AdWare.Win32.Maxifiles.j". Action Taken: No Action Taken.
Sun Jul 09 05:46:29 2006 => File C:\Programme\Gemeinsame Dateien\system32.dll tagged as "not-a-virus:AdWare.Win32.Maxifiles.w". Action Taken: No Action Taken.
Sun Jul 09 05:46:48 2006 => File C:\Programme\InetGet\Adperform180safull.exe tagged as "not-a-virus:AdWare.Win32.WinAD.bl". Action Taken: No Action Taken.
Sun Jul 09 05:46:49 2006 => File C:\Programme\InetGet\stubSafull.exe tagged as "not-a-virus:AdWare.Win32.WinAD.bl". Action Taken: No Action Taken.
Sun Jul 09 06:17:12 2006 => File C:\Spiele\1.5\Counter-Strike\hltv.exe tagged as not-a-virus:Server-Proxy.Win32.Hltv. No Action Taken.
Sun Jul 09 07:08:10 2006 => Scanning File C:\Spiele\CS Source\Counter-Strike Source\hl2\sound\npc\combine_soldier\vo\wehavenontaggedviromes.wav
Sun Jul 09 07:08:19 2006 => Scanning File C:\Spiele\CS Source\Counter-Strike Source\hl2\sound\npc\metropolice\vo\non-taggedviromeshere.wav
Sun Jul 09 07:51:01 2006 => File C:\WINDOWS\HKNTDLL.dll tagged as not-a-virus:Monitor.Win32.Hooker.e. No Action Taken.
Sun Jul 09 08:04:36 2006 => File C:\WINDOWS\system32\gpj4l31q1.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Sun Jul 09 08:04:37 2006 => File C:\WINDOWS\system32\guard.tmp_tobedeleted tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Sun Jul 09 08:04:54 2006 => File C:\WINDOWS\system32\k208lcdu1f08.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Sun Jul 09 08:06:08 2006 => File C:\WINDOWS\system32\p48q0el5ehq.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Sun Jul 09 08:06:34 2006 => File C:\WINDOWS\system32\s8pu0i79e8.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Sun Jul 09 08:07:38 2006 => File C:\WINDOWS\system32\wlfApi.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Sun Jul 09 01:32:45 2006 => Offending Folder found: C:\WINDOWS\cache329
Sun Jul 09 01:32:46 2006 => Offending Folder found: C:\Programme\altnet
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Sun Jul 09 01:32:45 2006 => Offending Key found: HKLM\Software\kazaa !!!
Sun Jul 09 01:32:45 2006 => Offending Key found: HKCU\Software\kazaa !!!
Sun Jul 09 01:32:45 2006 => Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\media gateway !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Jul 09 01:25:57 2006 => Total Errors: 0
Sun Jul 09 09:50:13 2006 => Total Errors: 53
Sun Jul 09 01:25:57 2006 => Time Elapsed: 00:00:21
Sun Jul 09 09:50:13 2006 => Time Elapsed: 08:12:49
Sun Jul 09 01:25:57 2006 => Total Objects Scanned: 250
Sun Jul 09 09:50:12 2006 => Total Objects Scanned: 169536
Sun Jul 09 01:25:29 2006 => Virus Database Date: 7/8/2006
Sun Jul 09 01:25:57 2006 => Virus Database Date: 7/8/2006
Sun Jul 09 01:25:59 2006 => Virus Database Date: 7/8/2006
Sun Jul 09 01:30:25 2006 => Virus Database Date: 7/8/2006
Sun Jul 09 09:50:13 2006 => Virus Database Date: 7/8/2006
Sun Jul 09 10:26:56 2006 => Virus Database Date: 7/8/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
--------------------------------------------------
C:\Dokumente und Einstellungen\(xx)\Lokale Einstellungen\Temp\MWAV.LOG
--------------------------------------------------


DANKE schonmal!