hallo

nach langer Abwesenheit , ist es mal wieder soweit. Irgendwas hab ich mir auf den Pc wohl eingefangen.

Seit ner Woche öffnen sich immer Werbefenster. Egal welche Seiten ich besuche. Gerade beim einloggen hier im Forum oder mein eigenes forum. Immer mal nen Werbefenster. Kein Popup, ne richtige seite. Aber keine schmuddelwerbung !

Ok, dann kommt ab und an, auch wenn ich mich auf Seiten einlogge manchmal die Meldung , ich müßte meinen PC scannen. Bin ja vorsichtig geworden und drück natürlcih auf abbrechen, als das Ding dann loslief, und da sind dann so kleine Schmuddelbilder, die ganz schnell wechseln. so die Meldung kommt immer wieder, aber wie beenden, wenn abbrechen zum Laufen führt. Ich brech nun die Task über Task Manager ab. Dann läuft nichts.

So Spyware findet immer was. Unter anderem nen Dialer gestern und ich lösch das dann.
Jetzt läuft gerade wieder Spyware udn ich hab schon wieder 584 Infizierungen. woher kommt das Zeugs denn ?
Wie krieg ich diese blöden Werbefenster weg und den Dialer, wenn es denn einer ist.

Von den Infizierungen sind 557 Browser Hijackers. Was immer das heißt.

Wäre um Hilfe dankbar, da ich so gar keine Ahnung hab.
LG
Astrid

Hi,

poste doch mal bitte ein HijackThis Log.

ja momentan läuft spydoctor noch.
Ich versuch es dann zu posten. (wenn ich das schaffe)

Hmm..

warum solltest du das nicht schaffen?

also der spydoctor ist nun durch. Da steht aber nirgends ne log.

Man kann danach reparieren aber nirgends lesen , was er gemacht hat

Was soll ich denn nun laufen lassen ?

Bitte ein HijackThis Log posten.

(Zum download -> siehe Signatur -> HJT)

so ich habs geschafft

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:44:40, on 15.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Athan\Athan.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre1.6.0_02\bin\jucheck.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\MSN Messenger\livecall.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\xxx\Eigene Dateien\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [Ulead Photo Express 5 SE Calendar Checker] C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Athan] C:\Programme\Athan\Athan.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?fe5a17474c4b43eda6bae9e56fd68da0
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?fe5a17474c4b43eda6bae9e56fd68da0
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\xxx\Startmenü\Programme\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - h**p://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game12.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9213A52A-CD11-48B5-970D-7DB261FB3BBB}: NameServer = 195.50.140.252 195.50.140.114
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 9988 bytes

Hi,

in deinem Log ist nichts besonders auffälliges zu erkennen

Folgendes abarbeiten:


-> Versteckte dateien sichtbar machen
-> Deaktivieren der Systemwiederherstellung

SmitfraudFix

1) - Lade dir SmitfraudFix herunter.

2) - Öffne es und lass dein System durchsuchen - Option 1

3) - Im abgesicherten Modus Smitfraudfix mit Option 2 ausführen

4) - Berichte Posten

Combofix

1) - Lade dir Combofix herunter

2) combofix.exe starten und bestätige die Abfrage mit 1 und drücke Enter

Achtung:

Combofix nimmt ein wenig Zeit in anspruch!
Bitte nichts während des Scans am Pc machen

Es kann auch sein, dass dein Computer zwischendurch mal herunterfährt!

ich hab jetzt smitfraud Option 1 laufen lassen:

SmitFraudFix v2.269

Scan done at 13:09:49,56, 15.12.2007
Run from C:\Dokumente und Einstellungen\xxx\Eigene Dateien\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Athan\Athan.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\fyitvtral.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre1.6.0_02\bin\jucheck.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\MSN Messenger\livecall.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\xxx\Eigene Dateien\HiJackThis\HijackThis.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\xxx


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\xxx\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\xxx\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 195.50.140.252
DNS Server Search Order: 195.50.140.114

HKLM\SYSTEM\CCS\Services\Tcpip\..\{9213A52A-CD11-48B5-970D-7DB261FB3BBB}: NameServer=195.50.140.252 195.50.140.114
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9213A52A-CD11-48B5-970D-7DB261FB3BBB}: NameServer=195.50.140.252 195.50.140.114


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Soll ich gleich anschließend nun das ganze mit Option 2 laufen lassen ? Und vorher Systemwiederherstellung deaktivieren ?

so ich hab jetzt einfach das Ganze im abgesicherten Modus Option 2 laufen lassen:

SmitFraudFix v2.269

Scan done at 14:02:40,67, 15.12.2007
Run from C:\Dokumente und Einstellungen\xxx\Eigene Dateien\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



Und bekam schon wieder 2 mal die Meldung, daß ich den PC Scannen soll. Es steht oben in der blauen Leiste uach dabei von welcher Seite die Meldung kommt. ist immer ne anderen. Kann man diese Seiten blockieren oder bringt das gar nichts ?

und hier Combofix-log:

ComboFix 07-12-15.5 - ruisseau 2007-12-15 14:16:23.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.43.1031.18.198 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\fyitvtral.dat
c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\fyitvtral.exe
c:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\fyitvtral_nav.dat
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\fyitvtral_navps.dat
C:\WINDOWS\system32\nvs2.inf

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-15 bis 2007-12-15 ))))))))))))))))))))))))))))))
.

2007-12-15 13:09 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-12-15 13:09 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-12-15 13:09 . 2007-12-13 19:40 77,824 --a------ C:\WINDOWS\system32\IEDFix.exe
2007-12-15 13:09 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-12-15 13:09 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-12-15 13:09 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-12-15 13:09 . 2007-12-15 14:02 2,992 --a------ C:\WINDOWS\system32\tmp.reg
2007-12-14 18:47 . 2007-12-14 19:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2007-12-13 21:25 . 2007-12-13 22:03 <DIR> d-------- C:\Programme\a-squared Free
2007-12-13 20:31 . 2007-12-13 20:31 <DIR> d-------- C:\Programme\Lavasoft
2007-12-13 20:31 . 2007-12-13 20:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2007-12-08 17:09 . 2007-12-08 17:09 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DirectX
2007-12-08 17:00 . 2007-12-08 17:00 <DIR> d-------- C:\Programme\EA GAMES
2007-12-01 15:48 . 2007-12-01 15:48 <DIR> d-------- C:\Programme\JoWooD
2007-12-01 15:01 . 2007-12-01 15:01 <DIR> d-------- C:\Programme\Empire Interactive
2007-12-01 09:38 . 2007-12-15 13:01 <DIR> d-------- C:\Programme\DX-Ball
2007-11-25 16:51 . 2007-11-25 16:51 192,512 --a------ C:\WINDOWS\system32\srkey.exe
2007-11-25 15:58 . 2007-11-25 15:58 <DIR> d-------- C:\Programme\ReflexiveArcade
2007-11-25 15:58 . 2007-12-13 22:41 <DIR> d-------- C:\Programme\Hamsterball
2007-11-25 15:21 . 2007-11-25 15:21 <DIR> d-------- C:\WINDOWS\system32\GroupPolicy
2007-11-25 15:21 . 2007-12-15 13:02 <DIR> d-------- C:\Programme\Hitman Pro

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-14 17:47 --------- d-----w C:\Programme\Google
2007-12-13 21:44 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-13 21:44 --------- d-----w C:\Programme\Real
2007-12-13 21:42 --------- d-----w C:\Programme\Zylom Games
2007-12-13 19:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-12-11 09:50 --------- d-----w C:\Programme\Ubisoft
2007-12-01 13:38 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2007-11-22 19:13 --------- d-----w C:\Dokumente und Einstellungen\ruisseau\Anwendungsdaten\uTorrent
2007-11-18 12:09 50,450 ----a-w C:\WINDOWS\Fonts\Bart.zip
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-10 09:39 --------- d-----w C:\Programme\KONAMI
2007-11-04 14:13 --------- d-----w C:\Programme\Gamenext
2007-11-02 10:39 --------- d-----w C:\Programme\NGD Studios
2007-11-01 09:50 --------- d-----w C:\Programme\THQ
2007-10-30 16:26 --------- d-----w C:\Programme\Gemeinsame Dateien\PocketSoft
2007-10-30 16:26 --------- d-----w C:\Dokumente und Einstellungen\ruisseau\Anwendungsdaten\Atari
2007-10-30 16:22 --------- d-----w C:\Programme\Atari
2007-10-30 10:44 --------- d-----w C:\Programme\dtp
2007-10-30 09:31 --------- d-----w C:\Programme\Xplosiv
2007-10-30 07:48 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-10-30 07:48 --------- d-----w C:\Dokumente und Einstellungen\ruisseau\Anwendungsdaten\InterTrust
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-29 14:57 --------- d-----w C:\Programme\Firefly Studios
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-20 20:38 --------- d-----w C:\Dokumente und Einstellungen\ruisseau\Anwendungsdaten\Zylom
2007-10-19 16:47 --------- d-----w C:\Programme\iWin
2007-10-19 14:11 --------- d-----w C:\Programme\GEE
2007-09-21 10:43 3,350 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2007-09-17 13:35 232,492 ----a-w C:\WINDOWS\Fonts\Chickfoo00.zip
2007-08-09 10:43 62,602 ----a-w C:\WINDOWS\Fonts\Traditional_Floral_Design.zip
2007-08-09 10:43 282,430 ----a-w C:\WINDOWS\Fonts\Floral_Design.zip
2007-08-09 10:42 53,441 ----a-w C:\WINDOWS\Fonts\Ornamental Decoration II.zip
2007-08-09 10:42 34,682 ----a-w C:\WINDOWS\Fonts\Rosegarden.zip
2007-08-09 10:41 67,028 ----a-w C:\WINDOWS\Fonts\Ornamental Corners.zip
2001-03-28 11:02 122,880 ----a-w C:\WINDOWS\inf\Agfa\message.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-11 11:00]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24]
"Yahoo! Pager"="C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.exe" [2007-03-01 17:11]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 15:01]
"SoundMan"="SOUNDMAN.EXE" [2004-09-15 23:39 C:\WINDOWS\SOUNDMAN.EXE]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-02-04 15:04]
"Ulead AutoDetector"="C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe" [2003-11-19 13:03]
"Ulead Photo Express 5 SE Calendar Checker"="C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe" [2004-01-12 20:40]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00]
"Athan"="C:\Programme\Athan\Athan.exe" [2005-09-12 02:02]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-15 18:55]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]
"SDTray"="C:\Programme\Spyware Doctor\SDTrayApp.exe" [2007-06-12 12:19]
"Ulead AutoDetector v2"="C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2005-05-23 08:57]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2007-12-14 18:47:00]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
S3 XDva031;XDva031;\??\C:\WINDOWS\system32\XDva031.sys
S3 XDva039;XDva039;\??\C:\WINDOWS\system32\XDva039.sys

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0f3ec341-ad97-11db-b73a-806d6172696f}]
\Shell\AutoRun\command - D:\RunGame.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
"2007-12-14 16:25:13 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2007-12-15 12:52:02 C:\WINDOWS\Tasks\Check Updates for Windows Live Toolbar.job"
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-15 14:19:17
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-15 14:19:52
.
2007-12-13 07:42:02 --- E O F ---


Danke erst mal für die Mühen

Hallo

hm.... kann mir jemand zu den geposteten Logs noch was sagen bitte ?:aplaus:

Zitat:

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\fyitvtral.dat
c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\fyitvtral.exe
c:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\fyitvtral_nav.dat
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\fyitvtral_navps.dat
C:\WINDOWS\system32\nvs2.inf

Zitat:

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

Besteht dein Problem noch?

Hallo

also nach dem ganzen Scans gestern, ließ ich öfters noch Spydoc und so ablaufen.

Mittendrin war dann mal der Fund des Trojaner PWS.Tanspy, den ich aber löschen konnte und danach nicht mehr gefunden wurde. Warum der auf einmal da war, weiß ich nicht.

Na ja seit gestern abend sind die Werbefenster erst mal weg.

War in den Logs dann nichts außergewöhnliches zu sehen ?

Kann ich eigentlich die seiten, die mir immer diese scan-Meldung bringen, manuell sperren ? Weil ich hab mir mitgeschrieben, von wo die letzten Meldungen kamen.

Danke schön