Hab seit neuestem auf dem PC von meinem Großvater ne ganze menge unerwünschtes. BEi der Boardsuche und bei google bin ich nur auf ein topic gestoßen, welches mir nur indierekt weiter hilft. Der befall äussert sich vorrangig dadurch, dass ne menge tabs aufpoppen in denen von mir verlangt wird, dass ich mir ein natürlich kostenpflichtiges antiviren Programm runter lade. Ich würd gern eine komplett neue aufsetzung des systems umgehen und hoffe daher, dass mir jemand helfen kann.


hier der HJT log.

Logfile of HijackThis v1.99.1
Scan saved at 14:21:00, on 21.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\nvraidservice.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\HHVcdV5Sys\VC5Play.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\System32\msnbeta.exe
C:\dfndrff_11a.exe
C:\kybrdff_11a.exe
C:\nwnmff_11.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\WINDOWS\System32\ICROSO~1.NET\dvdplay.exe
C:\Dokumente und Einstellungen\Rudolf\Anwendungsdaten\?dobe\m?hta.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HHVcdV5Sys\VC5SecS.exe
C:\WINDOWS\system32\lsvss.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R3 - URLSearchHook: (no name) - {8260A972-62CF-6518-B4FD-1753EDF13FEF} - C:\WINDOWS\System32\ukvxe.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\NT\nrcs.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VC5Player] "C:\Programme\HHVcdV5Sys\VC5Play.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DHCP Hotfix] C:\pin.exe
O4 - HKLM\..\Run: [MSNS PLUS XP2] msnbeta.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_11a.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_11a.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmff_11.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] msnbeta.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [Rsat] "C:\WINDOWS\System32\ICROSO~1.NET\dvdplay.exe" -vt yazb
O4 - HKCU\..\Run: [Pyoinqn] C:\Dokumente und Einstellungen\Rudolf\Anwendungsdaten\?dobe\m?hta.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{142901A3-50A1-418A-BAAC-ECECB856A096}: NameServer = 217.237.148.65 217.237.148.33
O20 - Winlogon Notify: Explorer - C:\WINDOWS\system32\wkcsvc.dll
O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\wvhip6.dll
O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\wvhip6.dll
O20 - Winlogon Notify: SideBySide - C:\WINDOWS\system32\wvhip6.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Windows Vista/NT Runtime Compatibility Service (ntrcs) - Unknown owner - C:\WINDOWS\NT\nrcs.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Programme\HHVcdV5Sys\VC5SecS.exe
O23 - Service: Windows Services Configuration - Unknown owner - C:\WINDOWS\system32\lsvss.exe


Ich seh spontan da nen paar dinge, die eindeutig nicht dahin gehören habe aber leider keine ahnung wie ich die wegbekomme und bevor ich mir im abgesicherten Modus das System zerschiesse, frage ich doch lieber die Experten um Hilfe.....
MfG

Hallo,

Zitat:

Ich würd gern eine komplett neue aufsetzung des systems umgehen...

das läßt sich leider nicht umgehen. Das System ist zu verseucht!
U.a. ist DER und noch ein weiterer aktiv.

Hauptgrund ist das völlig veraltete System. SP 2 und alle weiteren Sicherheitspatches müssen installiert sein!

Halte Dich an diese empfohlene Anleitung .

dartus

Hallo,

auch dein System ist total verseucht und damit kompromittiert, da sind soviele Trojaner und Spyware im System das man sie fast nicht mehr zählen kann.
Unteranderem (wie du auch schohn festgestellt hast!) ist ein Backdoor-Programm aktiv -> Malware Trojan Backdoor Gen

Hier ist nur noch eine Neuinstallation sinnvoll, eine andere Möglichkeit gibt es nicht! Wirklich nicht!

Lies dir vor der Neuinstallation den Link dazu in meiner Signatur durch. Nicht nur einfach drüberbüglen, sondern es muss alles weg...

Gruß
Sunny

das amüsante ist ja, dass mein system mit den gleichen Spezifikationen läuft, da ich kein großer freund von sp2 bin und bei mir nix passiert(könnte eigtl nur am mac im netzwer liegen aber da begeb ich mich aufgrund mangels kenntniss auf dünnes eis )
Naja ich danke euch auf jeden fall für die prompte hilfe.
MfG

Zitat:

Zitat von Dr.Wasserkopf

da ich kein großer freund von sp2 bin und bei mir nix passiert(könnte eigtl nur am mac im netzwer liegen aber da begeb ich mich aufgrund mangels kenntniss auf dünnes eis )

Solange du das SP2 ausslässt (warum auch immer ) wirst du IMMER Probleme mit (auch zukünftigen!) Schädlingen bekommen.
Alleine die Verbindung ohne SP2 ins Internet, kann dein System schon infizieren.

Also denk nochmal drüber nach ob du und das SP2 nicht doch noch Freunde werden könntet.

Ich halte dein jetziges Verhalten für leichtsinnig und absolut ignorant, denn solche Leute wie du sind daran (mit!) Schuld, das sich Viren, Trojaner und andere Schädlinge übers Netz verstreuen und vermehren können...:aplaus:

SCNR
Sunny

Also wirklich...
Diesen polemischen Thesen kann ich nicht zustimmen.
Ich habe ebenfalls kein SP2 installiert, und hatte noch nie Probleme mit Spyware etc.
Eine ordentlich konfigurierte Personal Firewall, ein aktueller Virenscanner und ein sicherer Browser(!) sind wichtiger als das SP2.
Schließlich wissen auch die Malware-Programmierer, dass es das SP2 gibt, und stellen sich darauf ein.
Wenn man dann noch XP-Antispy und Spybot S&D draufhat, kann eigentlich nix mehr schief gehen.

Die Aussage, dass man ein System mit vielen Trojanern etc. ohne Neuinstallation nicht mehr retten kann, ist natürlich völliger Quatsch. Man entfernt einfach einen Schädling nach dem anderen, wo ist das Problem? Mit viel Geduld geht das wahrscheinlich schon...

Außerdem könnte ein freundlicherer Umgangston in diesem Forum wirklich nicht schaden.


Pumbaa

@ Pumbaa

Das was du da verzapfst ist leider vollkommener Mist. De facto braucht man weder eine PFW, noch einen Virenscanner für ein sicheres System. Xp-Antispy in diesem Zusammenhang zu erwähnen ist mehr als lächerlich, Spybot S&D mag durchaus nützliche Funktionen mit sich bringen, aber notwendig ist es deshalb noch lange nicht. Das Einspielen aller Updates für das Betriebssystem (das gilt übrigens nicht nur für Windows) ist hingegen essentiell für die Sicherheit des Systems! Bezogen auf den IE und OE ist die Verwendung alternativer Software dennoch anzuraten, da diese Programme in der Vergangnheit des Öfteren durch div. Sicherheitslücken auffällig geworden sind und relativ tief ins System eingreifen können (Active-X etc.).

Zitat:

Die Aussage, dass man ein System mit vielen Trojanern etc. ohne Neuinstallation nicht mehr retten kann, ist natürlich völliger Quatsch. Man entfernt einfach einen Schädling nach dem anderen, wo ist das Problem? Mit viel Geduld geht das wahrscheinlich schon...

Aha, ich sehe, du bist Experte für Computer-Forensik...
Selbst ein einziges trojanisches Pferd (gilt auch für andere "Malware-Arten") ist strenggenommen ein Grund für ein vollständiges Neuaufsetzen des Systems!
Weiterführende Lektüren:
http://faq.jors.net/virus
http://www.microsoft.com/technet/com...mt/sm0504.mspx
http://www.mathematik.uni-marburg.de...c-removal.html

Zitat:

Zitat von Pumbaa

Ich habe ebenfalls kein SP2 installiert, und hatte noch nie Probleme mit Spyware etc.

OK, man braucht SP2 nicht, sollte aber alle Sicherheitsupdates, die in SP2 enthalten sind, installieren. Denn sie stopfen Sicherheitslücken. Die meisten, die SP2 nicht installieren, installieren sich auch die in ihm enthaltenen Patches nicht.

Zitat:

Eine ordentlich konfigurierte Personal Firewall, ein aktueller Virenscanner und ein sicherer Browser(!) sind wichtiger als das SP2.

Nein. Ein sicheres Betriebssystem muss die Ausgangsbasis sein. Eine PFW und ein Virenscanner sind überflüssig (Beweis: wie du hatte ich noch nie Probleme mit Malware). Und das man nur sichere, also aktuelle Programme nutzt, ist selbstverständlich.

Zitat:

Schließlich wissen auch die Malware-Programmierer, dass es das SP2 gibt, und stellen sich darauf ein.

Sie können aber nicht mehr die geflickten Lücken angreifen. Das immer noch die alten, lang gefixten Lücken angegriffen werden, kannst du täglich hier auf diesem Programm beobachten.

Zitat:

Wenn man dann noch XP-Antispy und Spybot S&D draufhat, kann eigentlich nix mehr schief gehen.

Wenn man dann noch auf XP-Antispy und andere überflüssige Programme verzichtet, kann eigentlich nichts mehr schiefgehen.

Zitat:

Die Aussage, dass man ein System mit vielen Trojanern etc. ohne Neuinstallation nicht mehr retten kann, ist natürlich völliger Quatsch. Man entfernt einfach einen Schädling nach dem anderen, wo ist das Problem? Mit viel Geduld geht das wahrscheinlich schon...

Du wirst die möglichen Folgen einer Backdoor-Infektion nicht durch Rumfuckeln beseitigen können.

Gruß
Yopie