Guten morgen liebe Leute.

Das ist mein erster Beitrag hier, aber ich hoffe trotzdem dass irgendwer so freundlich sein könnte und mir hilft.

Dazu ist zu sagen dass ich nicht wirklich ahnung habe.

In den letzten Tagen fiel mir auf dass mein pc immer langsam läuft.
Ich habe daraufhin mit Spybot einen Spy entfernt.
Im Taskmanager ist 3 mal der Prozess iexplore.exe vertreten.
Ich bekomme in 10-min Abständen IE-explorer Pop-ups von CiD obwohl ich mit firefox surfe .

Ich habe dann jetzt mal HighJackThis durchlaufen lassen.
Ich wäre euch sehr dankbar, wenn ihr mir bei meinem Problem helfen könntet.
Vieleicht hättet ihr ein paar Lösungsansätze parat.

Hier ist mein Log:

Logfile of HijackThis v1.99.1
Scan saved at 05:09:05, on 01.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\wdfmgr.exe
C:\WINNT\System32\alg.exe
C:\WINNT\system32\wscntfy.exe
C:\WINNT\system32\WgaTray.exe
C:\WINNT\Explorer.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINNT\system32\RunDLL32.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\System32\svchost.exe
G:\Mozilla Firefox\firefox.exe
C:\WINNT\system32\msiexec.exe
C:\WINNT\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINNT\system32\MsiExec.exe
C:\WINNT\system32\MsiExec.exe
C:\Programme\Microsoft Visual Studio 8\Common7\IDE\VCExpress.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.google.de
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\xxxxxxx\SPYBOT~1\SDHelper.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [memo site kind that] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grid Blue Memo Site\Beep Slow.exe
O4 - HKLM\..\Run: [Else Barb Log That] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Enc safe that grid\Second Junk Inside.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Programme\Octoshape Streaming Services\Administrator\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [Dumb burn] C:\DOKUME~1\ADMINI~1\ANWEND~1\INFOMU~1\name bait.exe
O4 - HKCU\..\Run: [DAEMON Tools] "G:\daemon tools\daemon.exe" -lang 1033
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\icq\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\icq\ICQ6\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=http:\\www.google.de
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: WgaLogon - C:\WINNT\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe

Ich persönlich sehe da 3 oder 4 Sachen die bestimmt nicht so gut sind. Nur leider habe ich davon wirklich keine Ahnung und poste hier lieber diesen Log bevor ich noch mehr kaputt mache.

MfG Theo

Hallo und Willkommen,

du hast mehrere Einträge die zu überprüfen sind.

Zitat:

O4 - HKCU\..\Run: [Dumb burn] C:\DOKUME~1\ADMINI~1\ANWEND~1\INFOMU~1\name bait.exe

O4 - HKLM\..\Run: [Else Barb Log That] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Enc safe that grid\Second Junk Inside.exe

O4 - HKLM\..\Run: [memo site kind that] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grid Blue Memo Site\Beep Slow.exe

Lade diese Dateien bei Virustotal hoch und poste anschließend das Ergebnis.

VirusTotal - Kostenloser online Viren- und Malwarescanner

Gruss

Hallo Felixx65,

danke für deine Hilfe

Ich habe jetzt die 3 Dateien bei virustotal.com überprüft.
Dabei sind folgende Ergebnisse herausgekommen:

Datei Beep_Slow.exe empfangen 2007.08.01 12:30:06 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 10/31 (32.26%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.2.0 2007.08.01 -
AntiVir 7.4.0.54 2007.08.01 -
Authentium 4.93.8 2007.07.31 -
Avast 4.7.1029.0 2007.07.31 Win32:Obfuscated-BPP
AVG 7.5.0.476 2007.07.31 Generic6.HC
BitDefender 7.2 2007.08.01 -
CAT-QuickHeal 9.00 2007.07.31 -
ClamAV 0.91 2007.08.01 -
DrWeb 4.33 2007.08.01 Trojan.Packed.149
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5022 2007.08.01 -
Ewido 4.0 2007.07.31 -
FileAdvisor 1 2007.08.01 -
Fortinet 2.91.0.0 2007.08.01 -
F-Prot 4.3.2.48 2007.07.31 -
F-Secure 6.70.13030.0 2007.08.01 Trojan.Win32.Obfuscated.en
Ikarus T3.1.1.8 2007.08.01 not-a-virus:AdWare.Win32.Lop.ag
Kaspersky 4.0.2.24 2007.08.01 Trojan.Win32.Obfuscated.en
McAfee 5087 2007.07.31 -
Microsoft 1.2704 2007.08.01 -
NOD32v2 2430 2007.07.31 -
Norman 5.80.02 2007.07.31 -
Panda 9.0.0.4 2007.08.01 Suspicious file
Rising 19.34.22.00 2007.08.01 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.07.31 VIPRE.Suspicious
Symantec 10 2007.08.01 -
TheHacker 6.1.7.160 2007.08.01 -
VBA32 3.12.2.2 2007.07.31 MalwareScope.Trojan-Downloader.Obfuscated.2
VirusBuster 4.3.26:9 2007.07.31 -
Webwasher-Gateway 6.0.1 2007.08.01 Worm.Win32.Malware.gen (suspicious)
weitere Informationen
File size: 2240000 bytes
MD5: 3c9357fd435182f1a9cc924d480d1e65
SHA1: a0ddd438f20dc558760fc5f2207c4fe526cc67e5
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.









Datei Second_Junk_Inside.exe empfangen 2007.08.01 12:46:16 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 7/32 (21.88%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit is zwischen 58 und 83 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.2.0 2007.08.01 -
AntiVir 7.4.0.54 2007.08.01 -
Authentium 4.93.8 2007.07.31 -
Avast 4.7.1029.0 2007.07.31 Win32:Obfuscated-BPT
AVG 7.5.0.476 2007.07.31 Generic6.HD
BitDefender 7.2 2007.08.01 -
CAT-QuickHeal 9.00 2007.07.31 -
ClamAV 0.91 2007.08.01 -
DrWeb 4.33 2007.08.01 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5022 2007.08.01 -
Ewido 4.0 2007.08.01 -
FileAdvisor 1 2007.08.01 -
Fortinet 2.91.0.0 2007.08.01 -
F-Prot 4.3.2.48 2007.07.31 -
F-Secure 6.70.13030.0 2007.08.01 Trojan.Win32.Obfuscated.en
Ikarus T3.1.1.8 2007.08.01 -
Kaspersky 4.0.2.24 2007.08.01 Trojan.Win32.Obfuscated.en
McAfee 5087 2007.07.31 -
Microsoft 1.2704 2007.08.01 -
NOD32v2 2430 2007.07.31 -
Norman 5.80.02 2007.07.31 -
Panda 9.0.0.4 2007.08.01 -
Prevx1 V2 2007.08.01 -
Rising 19.34.22.00 2007.08.01 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.07.31 VIPRE.Suspicious
Symantec 10 2007.08.01 -
TheHacker 6.1.7.160 2007.08.01 -
VBA32 3.12.2.2 2007.07.31 MalwareScope.Trojan-Downloader.Obfuscated.2
VirusBuster 4.3.26:9 2007.07.31 -
Webwasher-Gateway 6.0.1 2007.08.01 Win32.Malware.gen (suspicious)
weitere Informationen
File size: 546304 bytes
MD5: 4b8fce3c042a9a99b21b9a6aebf42759
SHA1: 059bb9c325943b1fd81b48ae2345ea3604ac1b9b
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.









Datei name_bait.exe empfangen 2007.08.01 13:01:25 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 12/32 (37.5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.2.0 2007.08.01 -
AntiVir 7.4.0.54 2007.08.01 TR/Obfuscated.EN.75
Authentium 4.93.8 2007.07.31 -
Avast 4.7.1029.0 2007.07.31 -
AVG 7.5.0.476 2007.07.31 Generic6.HF
BitDefender 7.2 2007.08.01 -
CAT-QuickHeal 9.00 2007.07.31 -
ClamAV 0.91 2007.08.01 -
DrWeb 4.33 2007.08.01 Trojan.Packed.149
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5022 2007.08.01 -
Ewido 4.0 2007.08.01 -
FileAdvisor 1 2007.08.01 -
Fortinet 2.91.0.0 2007.08.01 W32/Obfuscated.EN!tr
F-Prot 4.3.2.48 2007.07.31 -
F-Secure 6.70.13030.0 2007.08.01 Trojan.Win32.Obfuscated.en
Ikarus T3.1.1.8 2007.08.01 not-a-virus:AdWare.Win32.Lop.ag
Kaspersky 4.0.2.24 2007.08.01 Trojan.Win32.Obfuscated.en
McAfee 5087 2007.07.31 -
Microsoft 1.2704 2007.08.01 Spyware:Win32/C2Lop.B
NOD32v2 2430 2007.07.31 -
Norman 5.80.02 2007.07.31 -
Panda 9.0.0.4 2007.08.01 -
Prevx1 V2 2007.08.01 Adware.Lop.Downloader
Rising 19.34.22.00 2007.08.01 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.07.31 VIPRE.Suspicious
Symantec 10 2007.08.01 -
TheHacker 6.1.7.160 2007.08.01 -
VBA32 3.12.2.2 2007.07.31 MalwareScope.Trojan-Downloader.Obfuscated.2
VirusBuster 4.3.26:9 2007.07.31 -
Webwasher-Gateway 6.0.1 2007.08.01 Trojan.Obfuscated.EN.75

Außerdem habe ich festgestellt dass sich in dem Ordner der Datei name bait.exe auch noch weitere exe.-Dateien befinden:
-ceymxugc.exe
-Pile 32 htm.exe
-Pile poke chic.exe

ich denke mal diese Dateien sind auch nicht gut

MfG Theo

Naja das ist nicht grad sehr schlimm...

Aber 1 Tipp für dich: Wenn eine .exe Datei einen englischen Namen hat, und der auchso unsinnig ist wie die du auf dem PC hattetst, und die dann auch in einem Ordner mit einem Namen der genauso aufgebaut ist ist, kannst du davon ausgehen dass das Malware ist

Hallo Theo 20,
die von felixx genannten Einträge sehen sehr nach Swizzor aus. In den FAQ dieses Boards gibt es eine Anleitung zu seiner Entfernung.

Danach poste ein neues HJT-Logfile (benenne aber vorher die hijackthis.exe um in hjt.exe). Prüfe deinen Rechner auch mit eScan, poste danach die Ergebnisse mit Hilfe der find.bat (siehe Anleitung in den FAQ), und schließlich auch mit Blacklight von F-Secure.