Hallo, könnte mir bitte jemand folgendes Logfile prüfen ich habe Probleme mit clickspring.

Logfile of HijackThis v1.99.1
Scan saved at 21:55:25, on 14.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\OfficeScan NT\ntrtscan.exe
C:\Programme\OfficeScan NT\OfcPfwSvc.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\OfficeScan NT\tmlisten.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\OfficeScan NT\pccntmon.exe
C:\Programme\OfficeScan NT\RAUAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\TEMP\XZCBE3.EXE
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\+++\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: (no name) - {0D3E873E-1CAF-4A59-DEBA-36D19D4B9DC0} - C:\WINDOWS\System32\iza.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {E92AF657-65C8-3369-BCB4-43B6DBE52991} - C:\WINDOWS\System32\lpozwail.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [RemoteAgent] C:\Programme\OfficeScan NT\\RAUAgent.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155472632485
O20 - AppInit_DLLs: C:\WINDOWS\System32\iexplore.dll
O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\p06s0aj7edo.dll (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Tmlja2k\command.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe (file missing)
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programme\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\OfficeScan NT\OfcPfwSvc.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\OfficeScan NT\tmlisten.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Guten Abend,

bevor wir über eine Bereinigung nachdenken, Überprüfe mal bitte folgende Datei bie Jotti und Virustotal. ( Link in meiner SIG )


C:\WINDOWS\TEMP\XZCBE3.EXE
C:\WINDOWS\System32\iza.dll
C:\WINDOWS\System32\lpozwail.dll

Poste das komplette Ergebnis, also auch die größe der Datei. Auch oder gerade wenn nichts gefunden wird!


Gruß Mellosun

Vielen Dank für die schnelle Antwort. Also, das File hat eine Größe von 169 KB.

Ergebnis bei Jotti:
Datei: XZCBE3.EXE
Auslastung: 0% 100%

Status: OK
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden


Bei Virustotal dauert es noch ein wenig. Vielleicht langt ja das Ergebnis schon.

Zitat:

Zitat von jens2906

Also, das File hat eine Größe von 169 KB.

Wurde die größe auch bei dem Scannergebnis angezeigt?

Nein, da wurde nichts dergleichen angezeigt. Nur das was ich hochgeladen habe. Die Größe des Files habe ich aus dem Explorer.

Ah ja, also wurde als Größe 0KB angezeigt?

Das steht ganz unten, nach all den Scannern, die das File ausgewertet haben.

Zur Erklärung:

Manche Schadprogramme Tarnen sich so....wenn da 0KB stehen sollte, ist was faul! Also schau mal ob du die größe findest!

Ich habe noch mal genau geschaut, da steht nix. VBA32 Keine Viren gefunden ... ist der letzte Eintrag und dann kommt auf der Seite schon Werbung.

So, hier ist nun das Ergebnis von Virustotal. Hier steht die Größe dabei:
STATUS: FINISHEDComplete scanning result of "XZCBE3.EXE", received in VirusTotal at 08.14.2006, 22:33:12 (CET).

Antivirus Version Update Result
AntiVir 6.35.1.0 08.14.2006 no virus found
Authentium 4.93.8 08.14.2006 no virus found
Avast 4.7.844.0 08.14.2006 no virus found
AVG 386 08.14.2006 no virus found
BitDefender 7.2 08.14.2006 no virus found
CAT-QuickHeal 8.00 08.14.2006 no virus found
ClamAV devel-20060426 08.14.2006 no virus found
DrWeb 4.33 08.14.2006 no virus found
eTrust-InoculateIT 23.72.94 08.14.2006 no virus found
eTrust-Vet 30.3.3019 08.14.2006 no virus found
Ewido 4.0 08.14.2006 no virus found
Fortinet 2.77.0.0 08.13.2006 no virus found
F-Prot 3.16f 08.14.2006 no virus found
F-Prot4 4.2.1.29 08.14.2006 no virus found
Ikarus 0.2.65.0 08.14.2006 no virus found
Kaspersky 4.0.2.24 08.14.2006 no virus found
McAfee 4829 08.14.2006 no virus found
Microsoft 1.1560 08.14.2006 no virus found
NOD32v2 1.1706 08.14.2006 no virus found
Norman 5.90.23 08.14.2006 no virus found
Panda 9.0.0.4 08.14.2006 no virus found
Sophos 4.08.0 08.14.2006 no virus found
Symantec 8.0 08.14.2006 no virus found
TheHacker 5.9.8.192 08.14.2006 no virus found
UNA 1.83 08.14.2006 no virus found
VBA32 3.11.0 08.14.2006 no virus found
VirusBuster 4.3.7:9 08.14.2006 no virus found


Aditional Information
File size: 172099 bytes
MD5: 0e8c61632cd3d6072b1c5bbf628d17a3
SHA1: 9bc4c6f3a2dcbec26abe3cd8300c30c0df2cfbf1

Ergebnis von Jotti für iza.dll:

Datei: iza.dll
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Adware-Spyware/PurityScan.AK.92 adware gefunden
ArcaVir Keine Viren gefunden
Avast Win32:Agent-RY gefunden
AVG Antivirus Generic.OOY gefunden
BitDefender Keine Viren gefunden
ClamAV Trojan.PurityScan.AK gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Adware/ClickSpring gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.Win32.PurityScan.ak gefunden
NOD32 a variant of Win32/Adware.PurityScan application gefunden
Norman Virus Control W32/PurityScan.YN gefunden
UNA Keine Viren gefunden
VirusBuster Adware.ClickSpring.Gen gefunden
VBA32 AdWare.Win32.PurityScan.ak gefunden

------------------------------------------------------

Ergebnis für

Datei: lpozwail.dll
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Adware-Spyware/PurityScan.AK adware gefunden
ArcaVir Keine Viren gefunden
Avast Win32:Agent-RY gefunden
AVG Antivirus Generic.PQT gefunden
BitDefender Keine Viren gefunden
ClamAV Trojan.PurityScan.AK gefunden
Dr.Web Adware.ClickSpring gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Adware/ClickSpring gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.Win32.PurityScan.ak gefunden
NOD32 a variant of Win32/Adware.PurityScan application gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Adware.ClickSpring.Gen gefunden
VBA32 AdWare.Win32.PurityScan.ak gefunden

Guten Morgen,

ok, aber was mir vielmehr sorgen macht:

C:\WINDOWS\System32\iexplore.dll
sollte sich um diesen Schädling handeln.


C:\WINDOWS\Tmlja2k\command.exe (file missing)
Sollte dieser Schädling gewesen sein.

Und noch diese biden etwas Harmolseren Besucher.

C:\WINDOWS\system32\p06s0aj7edo.dll (file missing)
C:\Programme\Network Monitor\netmon.exe (file missing)

Daher mein Tip:

Neuaufsetzen Deines Systems mit anschließender Absicherung.
Link in meiner SIG!
Wenn du ganz sicher gehen willst, mache bitte einen eScan. Alles dazu gibts hier mit Anleitung .
Genau Lesen und das Ergebnis mit Hilfe der Find.zip Posten!


Geh jetzt auf Arbeit. Bin erst gegen 12:30 Uhr wieder On!


Gruß Mellosun