Hallo zusammen,

wie immer habe ich ein Problem und nichts gefunden...

Habe ein "Hintergrundprogramm", welches die Meldung erzeugt:

"Es konnte keine Verbindung zum Internet hergestellt werde.....

mit Buttom für "Offline" oder "Wiederholen".

Kann es leider nicht indentifizieren. Deswegen mal hier mein HJ-Log. Erkennt jemand was? Ich weiß WIN XP SP1, aber kann doch trotzdem nicht sein...

Danke im Vorraus.

Logfile of HijackThis v1.99.1
...
[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/showpost.php?p=171957&postcount=1

danke
GUA
[/edit]

Ich kann erst mal nur erkennen, dass das Log unvollstängig ist. Die Systemdaten fehlen. Also editieren und nachholen.

Ja, danke noch mal für den Hinweis.
Bin dienstlich unterwegs und habe den Laptop nebenbei laufen. Brauche ihn aber schon und will hier nichts in andere Netze bringen.

Was ich nicht richtig deuten kann ist:

.... c:\programme\u-storage ....

P.S. Habe Norton noch mal aktualisieren können und jetzt erkannte er den Trojan.Vundo. Der scheint aber schon länger aktiv, zumindest laüft jetzt das Symantec Entfernungstoll und ich hoffe damit einen Teil erledigt zu haben. Erkannt hat Norton ihn in:

C:\Windows\system32\vwurst.dll

Norton selber kann ihn werder entfernen noch isolieren. Fraglich ist bloß warum er nich im HJ-Log auftaucht oder sehe ich ihn nicht? Hätte vielleicht auch an Anfang gehört, aber Versuche mit Ad-Aware, Bazzoka und Advance Spyware Remover sind wie auch Panda-Onlinescan ergebnislos geblieben. Ein paar Cookies und die VB-Toolbar waren vertreten, wurden aber nicht im eigentlichen Sinn als kritisch eingestuft und konnten entfernt werden.


Jetzt noch mal das Log:

Logfile of HijackThis v1.99.1
Scan saved at 15:11:35, on 11.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Symantec\ANTIVI~1\DefWatch.exe
C:\PROGRA~1\Symantec\ANTIVI~1\Rtvscan.exe
C:\PROGRA~1\Symantec\ANTIVI~1\vptray.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\WgaTray.exe
C:\Programme\Dell\Bluetooth Software\BTTray.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\System32\svchost.exe
D:\install\***\HijackThis_Version199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\Symantec\ANTIVI~1\vptray.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\System32\ZCfgSvc.exe
O4 - HKLM\..\Run: [UStorag] c:\programme\u-storage tools\ustorage.exe sys_auto_run C:\Programme\U-Storage Tools
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MSOffice\Office10\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Dell\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Dell\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/197c217a9c0d8898c315/netzip/RdxIE601_de.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - c:\programme\lexware\Haufe\HaufeReader\HRInstmon.dll
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\Symantec\ANTIVI~1\DefWatch.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\Symantec\ANTIVI~1\Rtvscan.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Unknown owner - C:\WINDOWS\System32\S24EvMon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Danke an alle

Du hast den Verweis auf SP1 selbst gegeben. Ab 10.10.06 hat MS den Support für XP mit SP1 eingestellt. Du solltest das installieren, und zwar schnellstens

Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Prüfe Dein System mit Ewido http://www.ewido.net/de/ Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis, aber bitte lösche vorher aus dem Log alles was mit Cookies zu tun hat.

Hallo Felix,

danke bis dato. Hier der Log vom Backlight:

10/12/06 19:32:01 [Info]: BlackLight Engine 1.0.47 initialized
10/12/06 19:32:01 [Info]: OS: 5.1 build 2600 (Service Pack 1)
10/12/06 19:32:01 [Note]: 7019 4
10/12/06 19:32:01 [Note]: 7005 0
10/12/06 19:32:07 [Note]: 7006 0
10/12/06 19:32:08 [Note]: 7011 536
10/12/06 19:32:08 [Note]: 7026 0
10/12/06 19:32:08 [Note]: 7026 0
10/12/06 19:32:17 [Note]: FSRAW library version 1.7.1020
10/12/06 19:37:18 [Note]: 4013 26825
10/12/06 19:37:18 [Note]: 4020 29 65536
10/12/06 19:37:18 [Note]: 4018 29 65536
10/12/06 19:41:45 [Note]: 4013 27055
10/12/06 19:41:45 [Note]: 4020 29 65536
10/12/06 19:41:45 [Note]: 4018 29 65536
10/12/06 19:42:22 [Note]: 4013 26799
10/12/06 19:42:22 [Note]: 4020 29 65536
10/12/06 19:42:22 [Note]: 4018 29 65536
10/12/06 19:43:01 [Note]: 4013 26799
10/12/06 19:43:01 [Note]: 4020 29 65536
10/12/06 19:43:01 [Note]: 4018 29 65536
10/12/06 19:43:20 [Note]: 4013 26765
10/12/06 19:43:20 [Note]: 4020 29 65536
10/12/06 19:43:20 [Note]: 4018 29 65536
10/12/06 19:43:30 [Note]: 2000 1012
10/12/06 19:47:51 [Note]: 7007 0

Scheinbar sind keine Fehler erkannt wurden.

AVG scannt gerade und hat schon Adware.Softmate und ein paar Tracking-Cookies erkannt. Log folgt sobald er fertig ist.

Ergänzung:

So jetzt ist guter Rat teuer. Er ist noch nicht fertig und hat weiter:

Downloader.Zlob.apc und
Trojan.Agent.vg

erkannt. Was ich in Foren lese ist nicht beruhigend. Wie weiter? Bin ich mit AVG Anti-Spyware dagegen gerüstet oder sind noch andere Programme oder manuelle Änderungen notwendig ???

Gruß MG

Hallo Felix und andere Retter,

vorweg:
Die automatische HJ-Auswertung zeigt mir nichts unbedingt kritisches an, außer IE6 SP1, aber die Prozesse sind gut.

Das hatte ich gestern Nacht auch schon gedacht, als ich verschieden Prozesse per Hand eliminiert hatte, aber heute kamen wieder die PopUps, welche mir zur Erneuerung meiner AntiSpy-Software raten , mein System unbedingt updaten wollen usw. außerdem versucht sich beim Aufruf von Webseiten dann immer wieder eine "Zusatzsoftware" man wie heißen die Erweiterungen wo man den Internetquellen vertrauen soll... ich hoffe ihr wisst was ich meine. Flash-Player laden sich genauso....
Hatte zwischenzeitliche schon mein Touchpad-ALP außer Betrieb gesetzt, weil HJ das nicht so kannt. Ist jetzt aber wieder aktiv.

Dann lass ich bei lara63 ähnliche Probleme. Ich hoffe mal ich mache nichts falsches wenn ich RootkitReveal durchlaufen lasse ??
edit: => Keine Diskrepanzen gefunden.

So dann jetzt meine Logs:

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 20:22:34 12.10.2006

+ Scan-Ergebnis:



C:\Dokumente und Einstellungen\mustermann\Eigene Dateien\temp\ISO\C Programme Gemeinsame Dateien\{3457E833-0576-1031-0629-050408160031}\MyToolBar.dll -> Adware.Softomate : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\Dokumente und Einstellungen\mustermann\Eigene Dateien\temp\ISO\C Programme Gemeinsame Dateien\{C457E833-0576-1031-0629-050408160031}\services.dll -> Adware.Softomate : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\WINDOWS\system32\ishost.e__xe -> Downloader.Zlob.apc : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\WINDOWS\system32\ismini.e__xe -> Downloader.Zlob.apc : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\Dokumente und Einstellungen\mustermann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XQBSTMN\WinAntiVirusPro2006FreeInstall_de[1].exe -> Not-A-Virus.Downloader.Win32.WinFixer.o : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\Dokumente und Einstellungen\mustermann\Cookies\mustermann@bfast[1].txt -> TrackingCookie.Bfast : Gesäubert.
C:\Dokumente und Einstellungen\mustermann\Cookies\mustermann@mediaplex[1].txt -> TrackingCookie.Mediaplex : Gesäubert.
C:\Dokumente und Einstellungen\mustermann\Cookies\mustermann@ppms.popularix[1].txt -> TrackingCookie.Popularix : Gesäubert.
C:\Dokumente und Einstellungen\mustermann\Cookies\mustermann@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Gesäubert.
C:\Dokumente und Einstellungen\mustermann\Cookies\mustermann@statse.webtrendslive[2].txt -> TrackingCookie.Webtrendslive : Gesäubert.
C:\WINDOWS\system32\winfxw32.d__ll -> Trojan.Agent.vg : Mit Backup gesäubert (unter Quarantäne gestellt).


::Berichtende

Dann habe ich anschließend noch mal HJ-gestartet:

Logfile of HijackThis v1.99.1
Scan saved at 20:25:26, on 12.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Symantec\ANTIVI~1\vptray.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\WgaTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Dell\Bluetooth Software\BTTray.exe
C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\PROGRA~1\Symantec\ANTIVI~1\DefWatch.exe
C:\PROGRA~1\Symantec\ANTIVI~1\Rtvscan.exe
C:\Programme\Apoint\HidFind.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\taskmgr.exe
D:\install\admin\HijackThis_Version199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\Symantec\ANTIVI~1\vptray.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\System32\ZCfgSvc.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MSOffice\Office10\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Dell\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Dell\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/197c217a9c0d8898c315/netzip/RdxIE601_de.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - c:\programme\lexware\Haufe\HaufeReader\HRInstmon.dll
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\Symantec\ANTIVI~1\DefWatch.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\Symantec\ANTIVI~1\Rtvscan.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Unknown owner - C:\WINDOWS\System32\S24EvMon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Du hast nicht nur ein Antivirenprogramm laufen. Entscheide Dich für eines.
Welche Software will geupdatet werden?

Bin eigentlich schon von nur einer Antivirensoftware ausgegangen. Norton ist installiert und läuft mit automatischen Updates.

AntiSpy usw. habe ich jetzt schon mehrere installiert, weil ich PopUps und Umleitungen hatte, welche nicht gefunden wurden.

Jetzt scheine ich aber ein Stück weiter. Trotz keiner Anzeige von Norton und AVG-Anti Spy, ist Counter Spy jetzt noch auf einiges gestossen:

- Freepod/Toolbar888 - dachte ich schon entfernt / bzw. Einträge in Registry umbenannt
- Virtumonde - daher wahrscheinlich meine Pop-Up's
- Trojan.WinlogonHook.Delf.A -
Description: WinlogonHook.Delf.A is a backdoor trojan that gives an attacker the ability to control the infected machine without the user's knowledge.
Advice: This is a very high risk threat and should be removed immediately as to prevent harm to your computer or your privacy.

Nein, doch nicht ganz sauber.....
Eben auf der Suche nach mehr Details zum trojaner, kamen wieder Pop-Ups von "" WinAntiVirus Pro 2006 - Laden Sie Antivirenprogramm-Dateien "".

Das ist doch zum Verzweifeln....Sagt mal ist es normal das "svchost.exe" zwei mal läuft ist normal ?
Ist mir hier schon bei einigen aufgefallen, welche ähnliche Probleme zu haben scheine wie ich.

Gruß MG

Stelle den CleanUp genauso ein, wie hier beschrieben:
http://virus-protect.org/cleanup.html

Habe ich getan. Dann wurde gelöscht und ich hoffe jetzt ist alles wieder am normalen Laufen ??
Wie kann ich mir jetzt sicher sein, wenn x-Programme nicht erkannten was Counter-Spy erkannte ?

Nachdem ich letzten Beitrag geschrieben hatte, machte ich ebenfalls noch mal einen Neustart. Danach war ich noch am surfen, ohne das wieder ein pop-up kam. War es möglich, das noch Prozesse am laufen waren, nicht durch CounterSpy unterbrochen wurden und dank CounterSpy nach einem Neustart nicht mehr gestartet werden können?

Kann mir jemand was zum mehrmaligen Aufruf von <<C:\WINDOWS\system32\svchost.exe>> sagen ??

Hier noch mal mein letzter HJ-Log.

Logfile of HijackThis v1.99.1
Scan saved at 00:20:10, on 15.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
C:\PROGRA~1\Symantec\ANTIVI~1\DefWatch.exe
C:\PROGRA~1\Symantec\ANTIVI~1\Rtvscan.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunThreatEngine.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\PROGRA~1\Symantec\ANTIVI~1\vptray.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Dell\Bluetooth Software\BTTray.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\install\admin\HijackThis_Version199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\Symantec\ANTIVI~1\vptray.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MSOffice\Office10\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Dell\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Dell\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/197c217a9c0d8898c315/netzip/RdxIE601_de.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - c:\programme\lexware\Haufe\HaufeReader\HRInstmon.dll
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\Symantec\ANTIVI~1\DefWatch.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\Symantec\ANTIVI~1\Rtvscan.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Unknown owner - C:\WINDOWS\System32\S24EvMon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


ich hoffen das ich diesen Beitrag jetzt nicht mehr nach oben bringen muß und bedanke mich für eure Hilfe.

Gruß MG