Ich habe seit ein paar Tagen ein riesen Problem...
Ich kann keine Programme mehr installieren! Ich wollte AntiVir wieder frisch aufspielen, und dann kam das böse erwachen !

XXX ist keine Zulässige Win32-Anwendung !


Bitte helft mir, daß mein PC endlich mal wieder sauber läuft.
Ich wäre auch sehr froh, wenn ich das ohne Neuaufsetzten des PC's hinbekäme...

Danke für eure Hilfe !


Hir mein Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:25:43, on 15.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Nero 6.0\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\MagicTune Premium\MagicTuneEngine.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\MagicTune Premium\MagicTune.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\SPYWAREfighter\spftray.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\Programme\SPYWAREfighter\SPYWAREfighter.exe
F:\Install Programme\Sicherheit\HiJackThis202.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Yahoo! Deutschland
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKLM\..\RunOnce: [HLinit] c:\progra~1\themexp\themex~1.org\hlsetup2.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKLM\..\Policies\Explorer\Run: [isamonitor.exe] C:\Programme\VideoKeyCodec\isamonitor.exe
O4 - HKLM\..\Policies\Explorer\Run: [pmsngr.exe] C:\Programme\VideoKeyCodec\pmsngr.exe
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online 6.0\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online 6.0\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online 6.0\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online 6.0\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O20 - AppInit_DLLs: pushow53.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Unknown owner - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe (file missing)
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Nero 6.0\InCD\InCDsrv.exe
O23 - Service: MagicTuneEngine - Unknown owner - C:\Programme\MagicTune Premium\MagicTuneEngine.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing)
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

--
End of file - 5214 bytes


Vielen Vielen Dank für die Hilfe !

Dominik

Du hast ziemlichen Murks im System diese Einträge belegen das:

O4 - HKLM\..\RunOnce: [HLinit] c:\progra~1\themexp\themex~1.org\hlsetup2.exe
O4 - HKLM\..\Policies\Explorer\Run: [isamonitor.exe] C:\Programme\VideoKeyCodec\isamonitor.exe
O4 - HKLM\..\Policies\Explorer\Run: [pmsngr.exe] C:\Programme\VideoKeyCodec\pmsngr.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' missing
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O20 - AppInit_DLLs: pushow53.dll

Sehr viel Müll. Adware und Spyware, Newnet-Reste und ein anscheinend aktiver Zlob.

Werte mal diese Dateien
c:\progra~1\themexp\themex~1.org\hlsetup2.exe
pushow53.dll
bei Virustotal aus und poste die Ergebnisse.

Die erste Datei gibt es bei mir nicht....
Die 2.te Datei läuft seit 5 min... ist das normal

Dank dir für deine Hilfe !

Domi

Besorg dir mal den ProcessExplorer und starte ihn. Das ist eine Art aufgebohrter Taskmanager nur besser und sehr viel mächtiger.
Dir sollte dort sofort der Prozess auffallen, merk dir den kompletten Pfad der Datei und versuch dann diesen Prozess zu beenden. Anschließend bei Virustotal auswerten.

Führ auch mal eine Untersuchung mit escan durch.

Also bei dem Process-Explorer finde ich leider keine Datei die auch nur der
hlwsetup2.exe ähnlich ist...

die andere Datei lädt ewig hoch... seit 25 min

jetzt mach ich mal den escan was da rauskommt... ok ?

Dank dir...

Hallo DJ_Atomic,

ich habe die aktivierten (blau unterlegten) Links in Deinem Posting entschärft. Beachte in Zukunft bitte, dass dies aus Gründen der Sicherheit im Forum Pflicht ist und ein Belassen der Links prinzipiell einen Verstoß gegen die "7 goldenen Regeln" darstellt. Studiere und befolge diese bitte, denn Faulheit gilt als Ausrede nicht

Viel Spaß weiterhin im Trojaner-Board und viel Erfolg mit Deinem Problem

Grüße, schneipi

Hi,

bevor man anfängt, an dem Smitfraud herumzudoktorn, sollte man erstmal herausbekommen, wieso Antivir keine 32-Bit-Anwendung mehr ist. Wenn ich mit meiner Vermutung richtig liege, dann wird die Kur den Smitfraud ganz nebenbei mit erledigen.

Blacklight scannen lassen

• Lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.
• Starte in diesem Ordner fsbl.exe und schließe alle anderen Programme.
• Klicke "I accept the agreement", "next", "Scan".
• wenn der Scan zuende ist, wähle "Close".
• Der Bericht ist fsbl-XXX.log im Blacklight Verzeichnis, anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten. Den Inhalt dieser Datei bitte posten.

Gruß, Karl