Hallo erst mal!
Poste mal mein HijackThis log.
Habe mir wahrscheinlich einen Trojaner eingefangen.(Bend Poke exe) und schon rumexperimentiert. Der Sch.... lässt sich irgendwie nicht entf.Nach Neustart ist Eintrag immer wieder mit dabei. Im T-O-Browser öffnen sich laufend pop-ups (Party-Poker.com etc.) Habe auch schon in der Registry rausgelöscht,wahrscheinlich zuviel. Mein msconfig öffnet sich nicht mehr! regedit funzt aber noch.Ich hoffe es geht noch ohne "plattmachen"
Vielen Dank


Logfile of HijackThis v1.99.1
Scan saved at 12:00:02, on 01.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Alwil Software\Avast4\ashDisp.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\OO Software\DriveLED\oodled.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\****\Eigene Dateien\Download-Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url]
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 c:\WINDOWS\system\cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [avast!] "C:\Programme\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKCU\..\Run: [DriveLED] C:\Programme\OO Software\DriveLED\oodled.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Army shim] C:\DOKUME~1\FAM~1.***\ANWEND~1\1COPYB~1\BendPoke.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://w*w.marktkauf.de/
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: MWAgent - Unknown owner - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Unknown owner - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Hallo Heiko65,

lass bitte einmal folgende Dateien von VirusTotal scannen:

C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Dit.exe


Folgender Eintrag sieht ebenfalls komisch aus, jedoch gehört dieser wohl zu einem Treiber, den die Aldi Rechner vorinstalliert haben:

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Nette Grüße
David

Hallo David!
Habe ich beide scannen lassen,no virus found!
Trotzdem danke für den Tip!
Habe von einem freund noch einen Tip befolgt und "a-squared Free" downloaded.
Hat folgendes gefunden:

C:\WINDOWS\system32\fonts gefunden: Trace.Directory.IamBigBrother
C:\WINDOWS\icon_TMP\Process.exe gefunden: Riskware.RiskTool.Win32.Processor.20
C:\WINDOWS\sporder.dll gefunden: Trojan-Downloader.Win32.Agent.avq
C:\WINDOWS\system_backup\Process.exe gefunden: Riskware.RiskTool.Win32.Processor.20

Hab ich in Quarantäne,hat aber trotzdem nichts geholfen! Wahrscheinlich war das nicht das einzige.Ich vermute es ist der Eintrag.:
O4 - HKCU\..\Run: [Army shim] C:\DOKUME~1\FAM~1.KUT\ANWEND~1\1COPYB~1\BendPoke.exe
In der Logfileauswertung von: HijackThis Logfileauswertung
zeigt es mir immer den Eintrag an.Er lässt sich zwar entfernen,trägt sich aber selbstständig wieder in den Autostart ein.
Kurios ist auch der IE-Eintrag,welcher mir auch in der Auswertung angezeigt wird aber nur der in Kleinschrift.Der Prozess läuft zweimal,der zweite Eintrag in Großschrift.Obwohl IE nicht offen ist!
c:\progra~1\intern~1\iexplore.exe

Trotzdem nochmal DANKE!!! MfG Heiko

Hallo Heiko65,

wir könnten noch folgendes probieren:

Deaktivier die Systemwiederherstellung in deinem Windows und starte in den abgesicherten Modus. Dort versuchst du mit HijackThis den Eintrag

O4 - HKCU\..\Run: [Army shim] C:\DOKUME~1\FAM~1.KUT\ANWEND~1\1COPYB~1\BendPoke.e xe

zu fixen und säuberst mit dem Programm ClearProg dein System. Danach startest du dein Windows in den normalen Modus und lässt mit AVZ Antiviral Toolkit dein System scannen.

Nette Grüße
David

Hi,

das Bendpoke.exe ist wahrscheinlich adware.
Hier kannst du es dir anschauen und per
Tool entfernen lassen.
Das mit dem iexplorer passt schon so.

mfg Cleriker

mmhhh...
kann es sein, dass es der Swizzor ist?
Wenn ich mir den 04er Eintrag angucke...
...und deine Erscheinungen...
Wenn ja, musst du diese Anleitung abarbeiten,
um wieder klar zu sehen.
Zuvor solltest du alle Kommandos zurücknehmen
und auf eine Expertenbestätigung warten.

mfg Cleriker

Hallo Jungs!

Vielen Dank für Eure Hilfe! Super-Ad-Blocker hat das Problem glaub ich eliminiert.
Hat einen Eintrag "ArmyShim" und drei Einträge "Bend Poke exe" gefunden und entfernt.Erstellt aber leider keine log oder ich finde sie nicht.Würde sie sonst gerne posten.Weiß nicht mal genau wo der Dreck fest hing.Habe zu schnell auf weiter gedrückt und rebootet.Hauptsache der Shit ist weg.ToiToiToi. Autostarteintrag war noch vorhanden ohne Häkchen.Habe ich in der Reg entfernt.

Also nochmals DANKE für die Super Hilfe.
auf ein Neues MfG HEIKO

PS:Melde mich wenn "ER" sich wider Erwarten zurückmeldet!
Schönen Abend für alle:-)

Hallo Cleriker!

Hatte noch was vergessen zu schreiben.
Und zwar habe ich jetzt nur noch einen laufenden Prozess iexplore.exe und auch nur dann wenn ich den IE offen habe.Wenn ich den Browser schließe ist der Prozess auch beendet.Nutze eh fast nur Firefox.

Also Ciao!!!