Hi!

Scheint als hätten sich wieder Trojaner innerhalbs der Mauern eingeschlichen!
;-)

Spybot Search & Destroy sowie AntiVir finden nichts, Spyware Doctor (leider nur als freeware trial version) findet den sogenannten "Adware.Agent.BN".



Hier die..

..Logfile of Trend Micro HijackThis v2.0.2

Im Voraus vielen Dank an alle die helfen wollen/können!


Scan saved at 12:13:50, on 04.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Saitek\Software\Profiler.exe
C:\Programme\Saitek\Software\SaiSmart.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\programme\steam\steam.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\arservice.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Spyware Doctor\pctsGui.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Programme\AGEIA Technologies\TrayIcon.exe
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [T-Online Hinweis] c:\t-online_hinweis\t-online_fs2.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\ISP\AOL\AOLMIcon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{91AF4AB5-5146-4C56-B29D-B9D61CD93783}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7FB24E5-3208-4AE1-8968-1216C24FBC1A}: NameServer = 0.0.0.0
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 7631 bytes

H i l f e ! ! !

es werden immer mehr........ :-O~~

Hi,

ich galube ich kann dir helfen :

1. Lade folgenden dateien bei virustotal.com hoch und poste das ergebnis :

c:\Musicbrigade\Musicbrigade.exe
c:\t-online_hinweis\t-online_fs2.exe

2. Lösche erstmal nichts, sondern poste das Ergebnis und warte auf eine Antwort. Das ganze sieht aber nach einem Backdoor aus (O17 - HKLM\System\CCS\Services\Tcpip\..\{B7FB24E5-3208-4AE1-8968-1216C24FBC1A}: NameServer = 0.0.0.0) ==> Wahrscheinlich wirds du formatieren müssen.

3. Kappe das Internet !! ==> Verhindert das weitere Schadsoftware draufgeladen wird. Schalte das Internet nur im Notfall an oder nur um Infos gegen das malware Programm zu bekommen (z.B. virustotal.com, trojaner-board.de).

4.Spyware doctor Trial sucks !! Hol dir die Spyware doctor version vom google pack, die kann auch dauerhaft enfernen. Einziger nachteil, der guard ist sehr eingeschränkt.

Hmm. Danke erstmal soweit.

Die beiden exe dateien existieren nicht sagt windows.
dieses musicbrigade und die t-online software waren von anfang an uffm system aber dachte ich hätte die schon lange gelöscht...
unter software wird auch nix mehjr angezeigt.

hab nochmal ein aktuelles hijackprotokoll erstellt weil der pc die gesamte zeit im netz war.. vllt hat sich ja was verändert..

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:35:11, on 05.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Saitek\Software\Profiler.exe
C:\Programme\Saitek\Software\SaiSmart.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\arservice.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Steam\Steam.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Programme\AGEIA Technologies\TrayIcon.exe
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [T-Online Hinweis] c:\t-online_hinweis\t-online_fs2.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\ISP\AOL\AOLMIcon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{91AF4AB5-5146-4C56-B29D-B9D61CD93783}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7FB24E5-3208-4AE1-8968-1216C24FBC1A}: NameServer = 0.0.0.0
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 7615 bytes

Geändert hat sich nichts ! Hast du schon was gelöscht gehabt ? Bei welcher Datei gibt Spyware Doctor die Meldung Adware.Agent.BN aus ?

Hi,
es wäre hilfreich wenn du uns sagen könntest, wo der Trojaner gefunden wird. Dann hätten wir immerhin schonmal nen Anhaltspunkt.

Das Hijackthislog ist sauber. Auch wenn der Eintrag 0.0.0.0 etwas seltsam anmutet.

lg myrtille

Hi Ho!

Das problem beim posten des pfades der datei, ist das, dass mir nur die §$%&?e spyware doctor trial version die infizierten dateien anzeigt, ich mir aber kein protokoll anzeigen lassen kann was copy/paste kompatibel wäre(oder ich bin zu unfähig), aber ich arbeite daran.

just a moment please

Hoffe es ist nicht zu klein geraten!

p.s.: musste mich übrigens erst informieren wie ich screenshots mache und dann noch die bmp datei umwandeln hochladen etc..
hat daher ein bisschen länger gedauert da ichs zum ertsten mal gemacht hab.




thx

Und..

...ist der C:\Windows\Messenger\*.* Ordner eigentlich ein system ordner ??

Tach zusammen.....

Mein Problem ist sehr ähnlich gelagert, nur leider scheint die Lösung nicht so einfach zu sein wie oben.

Alsooooo............
Bis vor drei Tagen hatte ich absolut keine Probleme mit Würmern, Viren und ähnlichem Getier. Nun hat der Osetrhase aber scheinbar Eier ganz fieser Art auf meinem Rechner hinterlassen.

Bemerkt hatte ich diese, weil irgendwelche dubiosen Virenwarnungen auf meinem Rechner auftauchten und mich zum downloaden irgendwelcher Programme animierte. Dies habe ich aber als website abhängig abgetan.
Pustekuchen. Irgendwer oder irgewndwas hatte dann kurzer Hand meinen Rechner in der Hand, in konnte nicht einmal den Taskmanager öffnen.
Mittels den Tools Spybot und Spydoctor und Antivir habe ich es aber FAST wieder hinbekommen und die Bösewichter vom Rechner gejagt.

Nun aber das Problem...
Ein hartnäckiges Tierchen möchte mir aber einfach nicht in die Falle gehen.
Es äussert sich ähnlich. Zunächst wird versucht der InternetExplorer zu öffnen, den ich aber gar nicht nutze, sondern Firefox,
Dann popt eine gefakte Virenwarnung auf.
Wenn ich dann den Spydoctor von der Kette lassse lasse, findet er immer wieder das gleiche....

drei *.url Dateien, die Icons haben wie manche Virendateien, werden sowohl auf dem Desktop, als auch in den Favoriten abgelegt.
Dann der Schlüssel LOCAL MACHINE\Software\Microsoft\VideoPlugin. Den muss ich komplett löschen.
Und der Schlüssel... HK-USERS\VIELEZAHLEN\SOFTWARE\MICROSOFT\INTERNET EXPLORER\Startpage......da wird dann versucht eine Seite einzutragen, wo sicher noch viel mehr nette Ostereier gibt, wenn dann der IE geöffnet wird.

Da bei meinem ersten Scan vor drei Tagen, also wo so viel drauf war, auch "Smitfraud-C.sp" mir die Ehre gegeben hatte, habe ich mir das obige Tool SmitfraudFix runter geladen. Das log file poste ich am Ende.
Also ich bin mir sicher, daß in irgendeiner dunklen Ecke noch ein kleines fieses Osterei hockt, was auch von SpyDoctor nicht gefunden wird und dort sein Unwesen treibt. Und ich immer nur die Köpfe der Hydra erwische.
Ich möchte sie aber komplett am Galgen sehen. Denn diese komische Warnung kommt stets nach einer Weile wieder.
Habt ihr noch irgendwelche hilfreichen Tips auf Lager? Oder gar irgendwelche Tools.
Ich sehe zwar auch das das logFile vom SmitfraudFix(er) noch nicht astrein ist. Möchte aber eure Meinung und Tips haben.

Vielen nachösterlichen Dank schonmal.

Ich hoffe ihr könnt damit was anfangen!!!


Hier das Log:
SmitFraudFix v2.308

Scan done at 15:10:51,75, 25.03.2008
Run from E:\Daten\Enrico\download\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
E:\Programme\Firewall\smc.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\Spiele\Action\ConflictVietnam\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
D:\WINDOWS\Explorer.EXE
E:\Programme\REMOTE\netop\Host\NHOSTSVC.EXE
D:\WINDOWS\System32\nvsvc32.exe
E:\Programme\Spyware Doctor\pctsAuxs.exe
E:\Programme\Spyware Doctor\pctsSvc.exe
D:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
F:\Spiele\Action\ConflictVietnam\Microsoft SQL Server\90\Shared\sqlwriter.exe
D:\WINDOWS\System32\wdfmgr.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32\RUNDLL32.EXE
E:\Programme\Spyware Doctor\pctsTray.exe
E:\Programme\daemon_neu\daemon.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\WINDOWS\system32\wscntfy.exe
E:\Programme\Spyware Doctor\pctsGui.exe
D:\WINDOWS\system32\cmd.exe
D:\WINDOWS\System32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» D:\


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» D:\Dokumente und Einstellungen\Enrico Wolf


»»»»»»»»»»»»»»»»»»»»»»»» D:\Dokumente und Einstellungen\Enrico Wolf\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» D:\DOKUME~1\ENRICO~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» F:\Spiele\Action\ConflictVietnam


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

[!] Suspicious: vbgtorfd.dll
SSODL: vbgtorfd - {8E427AB2-2106-41FA-AD46-0B0EC043F214}

[!] Suspicious: dwnrpofk.dll
SSODL: dwnrpofk - {AB7C3CA8-D982-4299-9BEC-82754FBDD391}


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="D:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce MCP Networking Controller - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C188EBA8-C61D-4E6C-8DC0-73A0315EF0FA}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C188EBA8-C61D-4E6C-8DC0-73A0315EF0FA}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C188EBA8-C61D-4E6C-8DC0-73A0315EF0FA}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Zitat:

Zitat von DasAlteLeid

Tach zusammen.....

Mein Problem ist sehr ähnlich gelagert, nur leider scheint die Lösung nicht so einfach zu sein wie oben.

Alsooooo............
Bis vor drei Tagen hatte ich absolut keine Probleme mit Würmern, Viren und ähnlichem Getier. Nun hat der Osetrhase aber scheinbar Eier ganz fieser Art auf meinem Rechner hinterlassen.

Bemerkt hatte ich diese, weil irgendwelche dubiosen Virenwarnungen auf meinem Rechner auftauchten und mich zum downloaden irgendwelcher Programme animierte. Dies habe ich aber als website abhängig abgetan.
Pustekuchen. Irgendwer oder irgewndwas hatte dann kurzer Hand meinen Rechner in der Hand, in konnte nicht einmal den Taskmanager öffnen.
Mittels den Tools Spybot und Spydoctor und Antivir habe ich es aber FAST wieder hinbekommen und die Bösewichter vom Rechner gejagt.

Nun aber das Problem...
Ein hartnäckiges Tierchen möchte mir aber einfach nicht in die Falle gehen.
Es äussert sich ähnlich. Zunächst wird versucht der InternetExplorer zu öffnen, den ich aber gar nicht nutze, sondern Firefox,
Dann popt eine gefakte Virenwarnung auf.
Wenn ich dann den Spydoctor von der Kette lassse lasse, findet er immer wieder das gleiche....

drei *.url Dateien, die Icons haben wie manche Virendateien, werden sowohl auf dem Desktop, als auch in den Favoriten abgelegt.
Dann der Schlüssel LOCAL MACHINE\Software\Microsoft\VideoPlugin. Den muss ich komplett löschen.
Und der Schlüssel... HK-USERS\VIELEZAHLEN\SOFTWARE\MICROSOFT\INTERNET EXPLORER\Startpage......da wird dann versucht eine Seite einzutragen, wo sicher noch viel mehr nette Ostereier gibt, wenn dann der IE geöffnet wird.

Da bei meinem ersten Scan vor drei Tagen, also wo so viel drauf war, auch "Smitfraud-C.sp" mir die Ehre gegeben hatte, habe ich mir das obige Tool SmitfraudFix runter geladen. Das log file poste ich am Ende.
Also ich bin mir sicher, daß in irgendeiner dunklen Ecke noch ein kleines fieses Osterei hockt, was auch von SpyDoctor nicht gefunden wird und dort sein Unwesen treibt. Und ich immer nur die Köpfe der Hydra erwische.
Ich möchte sie aber komplett am Galgen sehen. Denn diese komische Warnung kommt stets nach einer Weile wieder.
Habt ihr noch irgendwelche hilfreichen Tips auf Lager? Oder gar irgendwelche Tools.
Ich sehe zwar auch das das logFile vom SmitfraudFix(er) noch nicht astrein ist. Möchte aber eure Meinung und Tips haben.

Vielen nachösterlichen Dank schonmal.

Ich hoffe ihr könnt damit was anfangen!!!

Genau dasselbe Problem habe ich auch. Ich würde mich über Antwort hier oder in meinem Thread freuen.

Vielen, vielen Dank schonmal!

Hi,
bitte nicht in die Threads anderer Leute posten.
Insbesondere, da aus dienem Thread hervorgeht, dass du nicht wirklich dasselbe Problem hast wie der TO.

Außerdem hast du seit ner guten Stunde ne Antwort in deinem Thread stehen, die auf ne Reaktion von dir wartet.

lg myrtille