Liebe potentielle Helfer,

ich habe mir durch den unachtsamen Klick auf eine dubiose Datei mindestens einen Hijacker eingefangen und werde diesen nun nicht mehr los. Ich habe schon einiges probiert aber es öffnet sich immer mal wieder der Internetexplorer, bzw. Firefox mit ätzender Werbung. Da ich nun nicht mehr weiter weiß, bitte ich verzweifelt um Hilfe, bzw. darum, dass sich irgendjemand der sich auskennt, meines Logfiles annimmt.

Ich vermute die Datei "dvdplay.exe" als eine der Ursachen, aber ich bekomme die Datei nicht weg
O4 - HKCU\..\Run: [Rdso] C:\DOKUME~1\***\ANWEND~1\ECURIT~1\dvdplay.exe" -vt ndrv

Außerdem habe ich einen Eintrag "Outerinfo" in Programme, der nach löschen wiederkommt und wohl ebenfalls damit zu tun hat.

Wer kann mir helfen? Vielen Dank vorab!

Hier mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:11:04, on 21.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS.1\System32\smss.exe
C:\WINDOWS.1\system32\winlogon.exe
C:\WINDOWS.1\system32\services.exe
C:\WINDOWS.1\system32\lsass.exe
C:\WINDOWS.1\system32\Ati2evxx.exe
C:\WINDOWS.1\system32\svchost.exe
C:\WINDOWS.1\System32\svchost.exe
C:\WINDOWS.1\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS.1\system32\spoolsv.exe
C:\WINDOWS.1\Explorer.EXE
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS.1\system32\CTSvcCDA.EXE
C:\WINDOWS.1\SYSTEM32\GEARSEC.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\DU Meter\DUMeter.exe
C:\WINDOWS.1\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\WINDOWS.1\system32\CTHELPER.EXE
C:\WINDOWS.1\system32\ZoneLabs\vsmon.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\UltraMon\UltraMon.exe
C:\WINDOWS.1\system32\MsPMSPSv.exe
C:\WINDOWS.1\system32\ctfmon.exe
C:\Programme\Creative\Shared Files\Media Sniffer\MtdAcq.EXE
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\UltraMon\UltraMonTaskbar.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\Common files\M?crosoft\n?tepad.exe
C:\DOKUME~1\***\ANWEND~1\ECURIT~1\dvdplay.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS.1\system32\drwtsn32.exe
C:\WINDOWS.1\system32\drwtsn32.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Tools und Miniprogramme\HijackThis Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [awxDTools] rundll32 C:\PROGRA~1\arniWORX\AWXDTO~1\awxDTools.dll,awxRegisterDll /r /s
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [IntelliPoint] C:\Programme\Microsoft IntelliPoint\ipoint.exe
O4 - HKLM\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto
O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS.1\system32\fqesvncw.dll",realset
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.1\system32\ctfmon.exe
O4 - HKCU\..\Run: [MtdAcq] C:\Programme\Creative\Shared Files\Media Sniffer\MtdAcq.EXE /s
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Rdso] "C:\DOKUME~1\***\ANWEND~1\ECURIT~1\dvdplay.exe" -vt ndrv
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://F:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - h**ps://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file:///E:/components/hidinputmonitorx.ocx
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - h**ps://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file:///E:/components/A9.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165744176625
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://www.creative.com/su/ocx/15028/CTPID.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS.1\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.1\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.1\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS.1\system32\CTSvcCDA.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS.1\SYSTEM32\GEARSEC.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS.1\system32\oodag.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS.1\system32\ZoneLabs\vsmon.exe
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS.1\system32\WFXSVC.EXE

Hi,
dein Log sieht etwas seltsam aus...
Lass bitte mal folgende Dateien:

Zitat:

C:\Programme\Common files\M?crosoft\n?tepad.exe
C:\DOKUME~1\***\ANWEND~1\ECURIT~1\dvdplay.exe
C:\WINDOWS.1\system32\fqesvncw.dll

bei virustotal auswerten, gib bitte alle Infos an, sowie Größe, MD5 etc.

lg myrtille

Hallo myrtille,

danke für Deine schnelle Antwort. Ich habe versucht, die drei Dateien an virustotal zu schicken.

Die Dateie

C:\DOKUME~1\***\ANWEND~1\ECURIT~1\dvdplay.exe

wurden von Outlook geblockt und von Norton Antivirus als Purityscan.Adware-Bedrohung eingestuft. Konnte aber nicht entfernt werden, obwohl die Datei als automatisch gelöscht im Log-File von Norton steht.

bei
C:\Programme\Common files\M?crosoft\n?tepad.exe
genau das selbe.

Die Auswertung von C:\WINDOWS.1\system32\fqesvncw.dll

ergab folgendes:

Complete scanning result of "fqesvncw.dll", processed in VirusTotal at 05/21/2007 13:38:22 (CET).

[ file data ]
* name: fqesvncw.dll
* size: 132660
* md5.: 05f50eb86f8b50044f76eac60b89db18
* sha1: faabf142396795cebf312d00390f1490d2cfb765

[ scan result ]
AhnLab-V3 2007.5.21.1/20070521 found nothing
AntiVir 7.4.0.23/20070521 found [ADSPY/Virtumonde.AR.4]
Authentium 4.93.8/20070518 found nothing
Avast 4.7.997.0/20070521 found nothing
AVG 7.5.0.467/20070520 found nothing
BitDefender 7.2/20070521 found nothing
CAT-QuickHeal 9.00/20070518 found nothing
ClamAV devel-20070416/20070521 found [Trojan.Packed-7]
DrWeb 4.33/20070521 found [Trojan.Virtumod]
eSafe 7.0.15.0/20070520 found nothing
eTrust-Vet 30.7.3649/20070521 found nothing
Ewido 4.0/20070521 found nothing
F-Prot 4.3.2.48/20070518 found nothing
F-Secure 6.70.13030.0/20070521 found nothing
FileAdvisor 1/20070521 found nothing
Fortinet 2.85.0.0/20070521 found [suspicious]
Ikarus T3.1.1.7/20070521 found nothing
Kaspersky 4.0.2.24/20070521 found [not-a-virus:AdWare.Win32.Virtumonde.ar]
McAfee 5034/20070518 found nothing
Microsoft 1.2503/20070521 found nothing
NOD32v2 2281/20070521 found nothing
Norman 5.80.02/20070518 found nothing
Panda 9.0.0.4/20070520 found nothing
Prevx1 V2/20070521 found nothing
Sophos 4.17.0/20070520 found [Virtumundo]
Sunbelt 2.2.907.0/20070517 found [VIPRE.Suspicious]
Symantec 10/20070521 found nothing
TheHacker 6.1.6.119/20070521 found nothing
VBA32 3.12.0/20070521 found nothing
VirusBuster 4.3.7:9/20070520 found nothing
Webwasher-Gateway 6.0.1/20070521 found [Ad-Spyware.Virtumonde.AR.4]

Sieht wohl alles nicht gut aus.
Wie kann es nun am besten weiter gehen?

Mit Dankesgruß
Christoph

Purityscan ist sehr schwer zu entfernen und viel tendieren dazu direkt einen Neuinstallation zu empfehlen.

Es gibt Anleitungen im Netz, zb diese, allerdings dauert die Bereinigung meist länger als das Neuaufsetzen.

lg myrtille

Ok, habe jetzt eine Seite gefunden, die einen Uninstaller für purityscan bietet.

http://www.purityscan.com/uninstall.html

Bin mir allerdings nicht sicher, ob man sich damit nicht noch mehr reinreitet. Das dort angebotene Uninstallerprogramm funktionierte (erst im abgesicherten Modus). Dadurch waren jedenfalls die beiden Dateien
"n?tepad.exe" und "dvdplay.exe" zu entfernen.
Die Datei "fqesvncw.dll" habe ich mit dem Programm "Unlocker" freigeben und entfernen können. Soweit so gut.

Alerdings habe ich jetzt das blöde Problem, dass sich die "explorer.exe" nicht mehr beim Systemstart lädt (obwohl sie in der Registry korrekt angemeldet ist) und ich deshalb den Explorer nur noch über den Task-Manager starten kann. Eine entsprechende Google-Sucher ergab, dass wohl nur ein Neu-Aufsetzen des Computers helfen soll.

Es scheint, als bin ich vom Regen in die Traufe geraten.

Danke jedenfalls nochmals für dein Hilfe.

Beste Grüße
Christoph

Ähh. Tja, da kann ich jetzt auch nicht viel zu sagen.

Du kannst ja mal nen eScan machen, wenn du glaubst, dass das Problem von Malware kommt.
Aber ein Neuaufsetzen ist mit sicherheit nicht falsch.

lg myrtille