Hallo Leute

Habe seit ca. einer woche so einen scheiss trojaner, spyware o.Ä...
Auf jeden fall öffnet sich jedes mal wenn ich irgendwas starte was mit Internet ( ) zu tun hat, ein fenster im explorer mit so ner werbung für "Sie haben gewonnen" oder der gleichen.
Jemand ne Ahnung was das ist? Mein avast und ad aware findet nix
Mfg jenzen

Hier der Log: (Wenn ihr noch welche braucht, bitte programmnamen sagen, ich kenne mich da nicht so gut aus)




Logfile of HijackThis v1.99.1
Scan saved at 16:59:02, on 12.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\CTHELPER.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Dokumente und Einstellungen\Uncle Jenso\Eigene Dateien\Wichtige Programme\Darkfix.exe
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\QIP\qip.exe
C:\PROGRA~1\Steam\Steam.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32Info.exe
C:\Dokumente und Einstellungen\Uncle Jenso\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [Gamma] C:\Dokumente und Einstellungen\Uncle Jenso\Eigene Dateien\Wichtige Programme\Darkfix.exe -silent
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [body info free less] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\htm ford body info\Boob scr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [copy user] C:\DOKUME~1\UNCLEJ~1\ANWEND~1\INSIDE~1\Road Team.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A983374-5DC7-4AE1-A981-CDC5B1550768}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9FEF3ED-38A9-4190-97BA-629DEE2C909C}: NameServer = 192.168.0.1
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Hi jenzen,

Du hast wohl das Swizzor-Problem.
Arbeite diese Anleitung zur Swizzor.A-Entfernung ab.

Für dich kommen folgende Einträge in Betracht:

Zitat:

O4 - HKLM\..\Run: [body info free less] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\htm ford body info\Boob scr.exe
O4 - HKCU\..\Run: [copy user] C:\DOKUME~1\UNCLEJ~1\ANWEND~1\INSIDE~1\Road Team.exe

mfg Cleriker

danke, ich werds morgen direkt mal ausprobieren, aber bin jetzt zu müde

hat geklappt, war garnicht so schwer musst einfach nur den ordner im abgesicherten modus löschen

/e zu früh gefreut.. hat doch nicht geklappt ..
also wenn ich im abg. modus starte findet der die dinger nicht mehr ... also kann ich nicht auf fix bei HijackThis drücken ..

mOIn auch

führe mal bitte das hier aus --> mache alle versteckten Datein und Ordner sichtbar, dann kopiere den folgenden Text :

Zitat:

cd\
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

in den Editor (Start - Programme - Zubehör - Editor) kopieren und als Ordner.bat mit 'Speichern unter' auf dem Desktop ablegen und gebe bei Dateityp 'Alle Dateien' an,
du solltest jetzt auf dem Desktop diese Datei finden --> Ordner.bat --> dann die Ordner.bat doppelt klicken (nur 1x) --> unter C:\files.txt findest du die Informationen die uns nun interessieren, kopiere den Text ab und poste in hierher.

MFG

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E88B-4398

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

13.02.2007 12:53 <DIR> .
13.02.2007 12:53 <DIR> ..
05.01.2007 15:38 <DIR> Adobe
05.01.2007 15:39 <DIR> Adobe Systems
12.02.2007 15:58 <DIR> Apple Computer
18.12.2006 14:22 <DIR> nView_Profiles
19.12.2006 20:03 <DIR> Sony
18.12.2006 15:07 <DIR> TuneUp Software
0 Datei(en) 0 Bytes
8 Verzeichnis(se), 96.899.645.440 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E88B-4398

Verzeichnis von C:\Dokumente und Einstellungen\Uncle Jenso\Anwendungsdaten

03.02.2007 16:58 <DIR> Adobe
18.01.2007 22:00 <DIR> Ahead
12.02.2007 17:02 <DIR> Apple Computer
17.12.2006 23:09 <DIR> Creative
22.12.2006 13:45 <DIR> DivX
15.02.2007 14:44 <DIR> Free Download Manager
18.12.2006 14:56 <DIR> ICQLite
17.12.2006 21:41 <DIR> Identities
03.02.2007 18:38 <DIR> Inside meet
03.02.2007 19:19 <DIR> Lavasoft
18.12.2006 19:12 <DIR> Macromedia
03.02.2007 14:34 <DIR> Microsoft Web Folders
18.12.2006 13:14 <DIR> Mozilla
04.01.2007 03:13 <DIR> NetPumper
19.12.2006 20:07 <DIR> Publish Providers
21.01.2007 16:05 <DIR> Sony
19.12.2006 19:51 <DIR> Sony Setup
18.12.2006 23:12 <DIR> Sun
18.12.2006 23:53 <DIR> teamspeak2
18.12.2006 15:05 <DIR> TuneUp Software
18.12.2006 15:21 <DIR> Ventrilo
19.12.2006 09:05 <DIR> vlc
0 Datei(en) 0 Bytes
22 Verzeichnis(se), 96.899.641.344 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E88B-4398

Verzeichnis von C:\Windows\tasks

19.01.2007 17:15 394 1-Click Maintenance.job
12.02.2007 15:57 276 AppleSoftwareUpdate.job
2 Datei(en) 670 Bytes
0 Verzeichnis(se), 96.899.641.344 Bytes frei

Starte im abgesicherten Modus und lösche den ordner "Netpumper"


Verzeichnis von C:\Dokumente und Einstellungen\Uncle Jenso\Anwendungsdaten\NetPumper


Da ist für gewöhnlich Spyware drinnen.


Danach würde ich nochmal mit Spybot Search and Destroy scannen und alles, was er findet löschen.

http://www.spybot.info/de/download/index.html

also irgendwie gibt es bei mir den netpumper ordner garnicht mehr ...
mein spybot hat aber 12 sach gefunden, bisher gehts ... ne ahnung wieso der ordner nich angezeigt wird (nein ist nich unsichtbar)