Hallo Forum,

seit einer kleinen Weile begegne ich beim Surfen folgendem Phäomen: Von Zeit zu Zeit öffnet sich der IE ohne mein zutun mit Werbung verschiedener Art. Der Gedanke an einen unerwünschten bewohner meines Rechners liegt nahe, und so habe ich nach der fürsorglichen und kompetenten Hilfe bei einem anderen Fall beschlossen, euch um Rat zu fragen. Die HJT Logfile sieht folgendermaßen aus:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:16:04, on 04.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Labtec\Media Keyboard\V5.0\KbdAp32A.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\MSI\Core Center\CoreCenter.exe
C:\Programme\MSI\DigiCell\DigiCell.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\Opera\Opera.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Dokumente und Einstellungen\***\Desktop\Dowloads\Installs\Analyse&Bereinigung\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=h**p://proxy-int.euv-ffo.de:3128;gopher=h**p://proxy-int.euv-ffo.de:3128;h**p=h**p://proxy-int.euv-ffo.de:3128;h**ps=h**p://proxy-int.euv-ffo.de:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;*.euv-frankfurt-o.de; *.euv-ffo.de; *.uni-ffo.de; *.uni-frankfurt-o.de
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\Labtec\Media Keyboard\V5.0\KbdAp32A.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Joy Bike More City] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mags Mapi Joy Bike\the download.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AIM CURB] C:\DOKUME~1\BKER~1\ANWEND~1\DUPEPO~1\BitsTest.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
O4 - Global Startup: DigiCell.lnk = C:\Programme\MSI\DigiCell\DigiCell.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Save Flash - res://C:\Programme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Programme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141134556211
O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} (SAIX) - h**p://static.zangocash.com/cab/Zango/ie/bridge-c356.cab?e9a11f883da3cc51fc5728e67f9c8b8ec1fccfc2cd8f09a325c82c84c422346d7ee5e1d7f06dc5c5cef4f6bb6ef21dad4a4b46b694dbd66d5069d3a5ff:6c68312e9e7f4ea61a 17b04ac0f14ce1
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7210 bytes

Hi,
du hast dir Swizzor eingefangen:

Zitat:

O4 - HKLM\..\Run: [Joy Bike More City] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mags Mapi Joy Bike\the download.exe
O4 - HKCU\..\Run: [AIM CURB] C:\DOKUME~1\BKER~1\ANWEND~1\DUPEPO~1\BitsTest.exe

Zur Bereinigung bitte dieser Anleitung folgen: klick

Außerdem solltest du unbedingt die aktuelle Java-version einspielen.

lg myrtille

Danke für die schnelle Antwort, myrtille. Ich bin ein wenig zögerlich, was die Anleitung angeht da ich keine Ahnung habe, mit welchem Programm Swizzor huckepack gekommen sein könnte - ich weiß also nicht, was ich deinstallieren sollte oder könnte. Die genannten Beispiele sind es zumindest nicht. Sollte ich gleich mit dem löschen der Ordner

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKLM\..\Run: [Joy Bike More City] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mags Mapi Joy Bike\the download.exe
O4 - HKCU\..\Run: [AIM CURB] C:\DOKUME~1\BKER~1\ANWEND~1\DUPEPO~1\BitsTest.exe
         

fortfahren?

Sry, das hatte ich ganz vergessen.

Auf Anhieb kann ich auch keinen bekannten Swizzorträger sehen, also am besten den Teil einfach überspringen.

Wurde denn in letzter Zeit etwas Neues installiert?

lg myrtille

Schon, die Originalversionen einiger Spiele. Die werden es wohl nicht gewesen sein.

Swizzor ist ein typisches "Sponsorprogramm", dass bei einigen anderen Programmen zur Finanzierung mitinstalliert wird, je nachdem was für Spiele du installiert hast ist es durchaus möglich, dass eines der Verursacher war.

Allerdings sollte Swizzor nach Deinstallation nicht wiederkommen, auch wenn das ursprüngliche Programm mit dem es installiert wurde noch auf dem Rechner ist.

lg myrtille

Sodele, die Ordner sind gelöscht, und mein Explorer schweigt. Vielen Dank, myrtille!