Guten Tag.

Ich kämpfe seit einer Weile mit gewissen PopUps. Unter anderem mit einem, der mich auf eine Seite namens Asia Friendfinder verbindet und auch mit den Win Antivirus Pro. Anbei mal mein HjLogfile. Wäre froh wenn mir jemand das anschauen und weiterhelfen könnte.

Edit: Nutze fürs Sufen Mozilla Firefox. Adaware und Spybot auch schon ausprobiert...

Logfile of HijackThis v1.99.1
Scan saved at 19:05:17, on 06.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\René\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [syswin] C:\WINDOWS\system32\v6.exe
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\ascubuvq.dll",setvm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Google service notify v501 (Servicegg) - Unknown owner - C:\WINDOWS\system32\gggs501.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: SX Service (SXServ) - Unknown owner - C:\WINDOWS\system32\sxserv101.exe (file missing)
O23 - Service: Windows kernel Service (Windows kernel Serv) - Unknown owner - C:\WINDOWS\system32\servmswin.exe


Gruss Silverdragon

Hallo

bei so multiplen infektionen u.a. ist wohl dieser hier aktiv --> W32/Rbot-FU - Wurm - Sophos Bedrohungsanalyse
sowie ein Trojan Downloader, Vundo und einiges andere rate ich dir setze dein System neu auf nach dieser Anleitung --> Neuaufsetzen des Systems und anschliessende Absicherung!
Ändere nach der Neuinstallation auch alle deine Kenn/Passwörter.

MFG

Ist es derart übel?

Hallo

ich finde schon, die Hijacker, Adware, Dropper und seine Freunde bekommt man wahrscheinlich in den Griff, aber bei einer Backdoor solltest du im eigenen Interesse und im Interesse der anderen I-Net Nutzer dein System neu aufsetzen.
Die Wirtsdatei kann vielleicht entfernt werden aber kein Mensch kann dir sagen, ob und was an deinem System verbogen oder geändert wurde und kein Programm kann diese Änderungen wenn sie passiert sind rückgängig machen, weil nur der der Zugriff hatte weiß was geändert wurde.
Niemand weiß ob Passwörter abgefangen wurden oder in Zukunft kleine Filmchen über deinen Rechner getauscht werden.
Sorry, aber so sieht es aus, ich rate dir die Neuinstallation nicht zum Spaß an sondern, weil die Möglichkeit besteht, dass ein dritter Zugriff auf deinen Rechner hat/hatte.
Lies dich hier mal ein --> Kompromittierung unvermeidbar?

MFG

Ok. Ich werd mir den ganzen Rechner neu Aufsetzen. Kann ich meine Daten auf die zweite Platte kopieren? oder geh ich in Gefahr Spyware und Adware mitzukopieren? geschweige von dem Backdoor. Ausserdem, werden auch PWs von MSN, Skype, ICQ, gewissen Websites usw. abgefangen? Oder von Onlinegames?

btw: vielen dank für die rasche Antwort

Hallo

sichern kannst du alle Dateien die nicht ausführbar sind also Bilder, MP3s und Office Dateien, sichere bitte keine *exe, *.bat, *.pif oder *.scr usw.
Überprüfe die gesicherten Dateien vor dem zurückspielen von dem nun sauberen System aus mit einem aktuell geuppten Antivirenprogramm, jetzt mach eine Überprüfung der Daten keinen Sinn.

Zitat:

Ausserdem, werden auch PWs von MSN, Skype, ICQ, gewissen Websites usw. abgefangen? Oder von Onlinegames?

Ich hätte alle Pass/Kennwörter erneuert.

MFG

hm...oke...leider müssen ein paar files mit die halt .exe sind .... sind gewisse files, sagen wir mal, die ich so schnell nicht wieder krieg. werd sie aber erstmal prüfen...

hm. gut dann werd ich alle pws ändern...

Vielen Dank.