Hallo,

seit ca. 1 Stunde erhalte ich ständig diese Meldung: "System Alert" - danach wird von welchem Programm auch immer aus versucht, per IE ins Netz zu gehen.

Wer kann mir einen Rat geben dazu?

Vielen Dank vorab,
maysun

PS: hier geht nur firefox - IE ist blockiert bzw. defekt! Wie auch immer: habe nichts "heruntergeladen" noch etwas erneuert in der software. Der Befehl- und Aktiviercode muß also sonstwie hereingekommen sein.

Poste bitte ein HijackThis nach dieser Anleitung hier ins Board:
http://www.trojaner-board.de/17493-a...ijackthis.html
Dies zeigt Deine aktuellen Systemprozesse an. Benenne dabei die Hijackthis.exe in einen anderen Namen um und poste das Ergebnis.

Hört sich im ersten Moment an, als hättest Du einen schädlichen Codec heruntergeladen....

Hallo Mobius07,

ok, danke, mach ich gleich.

maysun

hallo,

hier der scan:

Logfile of HijackThis v1.99.1
Scan saved at 00:17:51, on 04.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\jdk-1.4.2\bin\javaw.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Video ActiveX Access\iesmn.exe
C:\Programme\Video ActiveX Access\imsmain.exe
C:\Programme\Video ActiveX Access\iesmin.exe
C:\Programme\Video ActiveX Access\imsmn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\VirusProtectPro 3.3\VirusProtectPro 3.3.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\IrfanView\i_view32.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\highcheck\HijackThis.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://localhost:8081/eVIA/Default.aspx
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {184746EC-9E9D-4C7D-B9E7-9039EBD801A9} - C:\Programme\Video ActiveX Access\iesplg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: BrwIEConnector Class - {908A31E8-2A6E-4736-8E8A-AAF00C4AE38F} - C:\PROGRA~1\Browster\Browster.dll
O2 - BHO: (no name) - {E12BFF69-38A7-406e-A8EF-2738107A7831} - C:\DOKUME~1\**** \LOKALE~1\Temp\juan.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: Protection Bar - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - C:\Programme\Video ActiveX Access\iesbpl.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O5 "LPT1:" /M "Stylus C82"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eVIA Offline] C:\Programme\ITERGO\eVIA\eVIAHost.exe
O4 - HKLM\..\Run: [dbBausparenOnline] "C:\Programme\bin\startupTomcat.bat"
O4 - HKLM\..\Run: [dbBODelTSM] C:\Programme\bin\delTomcatStarting.bat
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\system32\ntsystem.exe
O4 - HKLM\..\Run: [SecurityUpdate] rundll32.exe C:\WINDOWS\system32\jeiaxhf.dll,TurnOn2
O4 - HKLM\..\Run: [VirusProtectPro 3.3] "C:\Programme\VirusProtectPro 3.3\VirusProtectPro 3.3.exe" /h
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/
O20 - AppInit_DLLs: C:\WINDOWS\system32\wmfhotfix.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: hirtellous - {fa19bd7e-50bc-4203-80ac-c4edc81ca9a3} - (no file)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

muss jetzt mal langsam in Richtung Tagesausgleich hozizontal gehen ...

Würde mich auf Hinweise aber auch morgen abend freuen .... denn tagsüber arbeite ich und kann diesen Probs leider nicht nachgehen - obwohl ich es gerne würde, weil es soooo sehr nevt und vor allem: weil es noch nicht klar ist!

Denke mal - es hilft (so eine Lösung gefunden wird) auch anderen - sowas gibt es nicht nur einmal!

Vielen Dank an jene, die sich mit dem Thema beschäftigen.

LG
maysun

Du hast sehr viele schädliche Einträge drauf, sieht nicht gut aus ob wir den sauber bekommen! Wie ich vermutet hatte
Fixen (Haken bei "fixed checked")
C:\Programme\Video ActiveX Access\iesmn.exe
C:\Programme\Video ActiveX Access\imsmain.exe
C:\Programme\Video ActiveX Access\iesmin.exe
C:\Programme\Video ActiveX Access\imsmn.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://localhost:8081/eVIA/Default.aspx
O2 - BHO: (no name) - {184746EC-9E9D-4C7D-B9E7-9039EBD801A9} - C:\Programme\Video ActiveX Access\iesplg.dll
O2 - BHO: (no name) - {E12BFF69-38A7-406e-A8EF-2738107A7831} - C:\DOKUME~1\**** \LOKALE~1\Temp\juan.dll
O3 - Toolbar: Protection Bar - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - C:\Programme\Video ActiveX Access\iesbpl.dll
O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\system32\ntsystem.exe
Bei den Einträgen solltest Du eigentl. neu aufsetzen: Vundo/Smidfraud/Zlob ist das übel!
Eine Möglichkeit währe dieser Weg:
http://www.trojaner-board.de/30411-a...-von-zlob.html
Dazu Vundofix : www.atribune.org - Home
Dies alles im abgesichertem Modus mit deaktivierter Systemherstellung!!!
Willst Du Dir das antun ohne dabei Gewähr zu haben ,oder direkt neu aufsetzen?
http://www.trojaner-board.de/12154-a...sicherung.html

Hallo Mobius07,

danke für Deinen Hinweis. Werde versuchen, das jetzt noch hinzubekommen. Muss leider horizontal (leider Spezies Mensch) - mach das jetzt einfach aber mal.

Meldung wahrscheinlich erst morgen Abend. Würde mich freuen, dann Deine Meinung dazu zu sehen. Einfach, weil ich finde, das Kontinuität der beste Garant ist. Sorry - ist nicht wertend gemeint!

Vielen Dank jedenfalls jetzt schon - ich fang dann schon mal damit an, Deinen Rat umzusetzen.

Viele Grüße
maysun

*kurzeinmisch*

Dein System ist echt übel dran, der Zlob/Smitfraud allein ist schon sehr hartnäckig und auch die Anleitungen hier mit den verlinkten Removaltools garantieren dir kein sauberes System. Und dann sind da ja noch andere Schädlinge und womöglich noch Zeugs, was man mit HJT noch nicht aufgedeckt hat.
Vermutlich wirst du mit diesem System nicht mehr auf nen grünen Zweig kommen und mit einem Neuaufsetzen wohl schneller sein.

Ich glaub heute wirds eng damit, aber rein theoretisch ist es machbar. Ich als Humanoid muss jetzt auch in die Ratze.... Kontinuierlich zur Arbeit

Zitat:

Zitat von cosinus

*kurzeinmisch*

Dein System ist echt übel dran, der Zlob/Smitfraud allein ist schon sehr hartnäckig und auch die Anleitungen hier mit den verlinkten Removaltools garantieren dir kein sauberes System. Und dann sind da ja noch andere Schädlinge und womöglich noch Zeugs, was man mit HJT noch nicht aufgedeckt hat.
Vermutlich wirst du mit diesem System nicht mehr auf nen grünen Zweig kommen und mit einem Neuaufsetzen wohl schneller sein.

Gruß von der Wupper an die Weser! Eine Gewähr habe ich immer ausgeschlossen, aber ein direkter Backdoor ist nicht zu erkennen. Dein Reden, aber dafür ist dieses Board ja da: Einen Versuch ist es doch in diesem Fall wert. Danach gibt es immer noch den letzten Ausweg...

Zitat:

Zitat von Mobius07

Gruß von der Wupper an die Weser! Eine Gewähr habe ich immer ausgeschlossen, aber ein direkter Backdoor ist nicht zu erkennen. Dein Reden, aber dafür ist dieses Board ja da: Einen Versuch ist es doch in diesem Fall wert. Danach gibt es immer noch den letzten Ausweg...

Gruß zurück
Vllt. hast du da recht, ich bin da aber eher skeptisch...v.a. wenn man bedenkt, dass es am Ende doch auf die Neuinstallation hinauslaufen kann (vllt. wird das System sogar ganz geschrottet oder unvorgesehene Probleme treten auf), ärgert man sich doch über die vertane Zeit, die man fürs Bereinigen aufgebracht hat...

Hallo,
meinst echt, das ist so ernst? Also Neuaufstsen?

Mhm - na ja wenns so ist - Danke für die Info"

SuperDanke!!!!
Petra

Jo leider
Die Bereinigung kann erfolgreich sein, danach hast du aber keine Gewissheit bzw. Garantie, dass auch alles weg ist.

Siehe auch hier => Entfernung von Schädlingen

Neuaufsetzen ist immer sicherer. Kommt nur drauf an, ob Du den Versuch starten willst zu bereinigen, ohne Gewähr zu haben (Siehe meinen ersten Beitrag) . Aber ganz Hoffnungslos ist es nicht. Muss man relativ sehen. Bleibt aber Dir überlassen ob Du das ganze Prozedere durchführen möchtest oder in vier bis fünf Stunden einfach ein neues Image aufspielst.

mhm na dann - ist von der Wahrscheinlichkeitsrechnung her es wohl gut, erst mal die "Schädlinge" zu eliminieren.#


Neu Aufsetzen (mit allen Verlusten und der Zeit, die das kostet, alles zu retten) wäre wohl die letzte Lösung.

Mhm muß ich wohl morgen dran gehen- habe noch Kunden ahead... Mist ehrllich!

Danke Möbius07 und hoffe, dass Du morgen noch da bist.

Petra