Hi Leute,

Firefox öffnet bei mir ständig Werbung. Ich sdachte schon, ich hätte das Problem gelöst (mit Unlolcer und Eraser), da ich "Zango" im Verdacht hatte und es letztlich löschen konnte. Es wurde aber trotzdem nicht besser. Ich habe hijacker angewandt und folgende Informationen erhalten:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:32:15, on 18.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\HPQ\IAM\bin\asghost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\IFXSPMGT.exe
C:\WINDOWS\system32\IFXTCS.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\ProtectTools\Embedded Security Software\PSDsrvc.EXE
C:\Programme\HHVcdV7Sys\VC7SecS.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\ProtectTools\Embedded Security Software\PSDrt.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\HHVcdV7Sys\VC7Play.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Virtual CD v7\System\VC7Tray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Dokumente und Einstellungen\Gerard\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hp.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\HPQ\IAM\Bin\ItIeAddIN.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule
O4 - HKLM\..\Run: [Cpqset] C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [WatchDog] C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [VC7Player] C:\Programme\HHVcdV7Sys\VC7Play.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" -H
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DVD Check.lnk = C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: OneCard - C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\IFXSPMGT.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\IFXTCS.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Personal Secure Drive Service (PersonalSecureDriveService) - Infineon Technologies AG - C:\Programme\ProtectTools\Embedded Security Software\PSDsrvc.EXE
O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - C:\Programme\HHVcdV7Sys\VC7SecS.exe

--
End of file - 11490 bytes

Kann mir bitte jemand helfen? Ich muss derzeit viel mit dem Computer arbeiten und bin echt genervt.

dr.futural

Hallo.

Dein log ist leider sauber.


-- Rouge Spyware --

* Downloade RVAXO.exe von hier --> http://home.hetnet.nl/~stefsmeenk/RVAXO.exe
* Speichere es auf dem Desktop.
* starte die RVAXO.exe mit einem Doppelklick
* eventuell öffnet sich ein Uninstaller
* schliesse ihn nicht, lass das Programm laufen
* Starte deinen Rechner danach neu
* nach dem Neustart mach einen Doppelklick auf die RVAXO.exe
* ist sehr wichtig!
* das Logfile findest du hier: C:\RVAXO-results.log

Anleitung SuperAntiSpyware

-Downloade SuperAntiSpyware:




-Melde dich mit Administrator-Rechten an und installiere das Programm für alle Benutzer.

-Nach der Installation wirst du gefragt ob du die Schädlings-Definitionen sofort auf den neuesten Stand bringen möchtest. -> Klicke auf Ja.
=> Das Update wird daraufhin ausgeführt.

-Im Hauptfenster des Programmes finden sich verschiedene Funktionen:



1. Solltest du überprüfen ob auch wirklich die aktuellen Signaturen vorliegen. Klicke dazu auf den Button Check for Updates... => Der Download wird durchgeführt und du wirst anschließend informiert, dass die Definitionen aktuell sind. Mit Klick auf OK gelangst du wieder in das Hauptfenster.



2. Musst du einige Einstellungen ändern. Öffne hierzu die Einstellungen mit einem Klick auf den Preferences...Button.
Wähle den Reiter Scanning Control aus und setzte die grünen Haken wie im Bild gezeigt wird.
Mit einem Klick auf Close gelangst du wieder in das Hauptfenster.





3. Durch einen Klick auf den Button Scan your Computer gelangst du in die Scanner-Bereich.
Als erstes wählst du bitte unter Scan Location alle deine Festplatten aus und markierst sie mit einem grünen Haken.
Danach setzte den grünen Punkt bei Perform Complete Scan.



Mit einem Klick auf Weiter startest du den Scan.
Warte nun bis Scan beendet ist. Während dieser Zeit sollten keine anderen Arbeiten am Computer ausgeführt werden!



Nachdem der Scan beendet ist wirst du über evtl. Funde informiert. Du hast außerdem die Möglichkeit weitere Informationen über die markierten Objekte auf der Website des Herstellers ab zu fragen.

Wechsel wieder in das Hauptfenster und öffne die Preferences. Dort wähle den Reiter Statistics/Logs und markiere das letzte logFile.
Durch drücken des Buttons View Log... öffnet sich ein Text-Dokument. Den Inhalt dieses Dokuments markierst (Strg.+A) und kopierst (Strg.+C) du.
Anschließend kannst du es hier im Forum einfügen (Strg.+V).





4. Nach dem dein Helfer das log ausgewertet hat kannst du die Objekte in der Quarantäne Löschen bzw. wiederherstellen.
Wechsel dazu vom Hauptfenster aus in die Quarantäne und führe die gewünschte Aktion für die markierten Objekte aus.
Der Restore...Button stellt die markierten Objekte wieder her während der Remove...Button die Objekte löscht!


Als abschließende Überprüfung sollte ein Scan im agesicherten Modus erfolgen.
Öffne die Safe-Boot-Option von SUPERAntiSpyware indem du "Start->Programme->SUPERAntiSpyware->BootSafe" öffnest.
Es wird sich ein Installer öffnen der ein Desktop-Symbol und mehrere Registrierungsschlüssel erstellt.
Wähle im darauf folgenden Fenster Safe Mode - Minimal aus und starte den Rechner durch drücken des Reboot Buttons neu.



Wenn auch dieser Scan beendet ist kannst du den Rechner im normalen Modus neustarten.
Dazu musst du die Boot.ini ändern: "Start->ausführen->msconfig eintippen und Enter drücken.
Dort wählst du den Reiter Boot.ini aus und enfernst den Haken bei /SAFEBOOT.
Klicke dann auf Übernehmen und starte den Rechner durch Drücken des Jetzt neustarten...Buttons neu.

Vielen Dank erstmal für Deine schnelle und ausführliche Anwort. Ich habe alles so gemacht, wie Du gesagt hast, nur bei RVAXO war ich mir nicht ganz sicher. Leider besteht das Problem nach wie vor, es scheint wohl sehr hartnäckig zu sein. Das Virenprogramm hat einige Dateien geortet, es war auch eine dabei, die ich selber im Verdacht hatte.
Gibt es denn noch eine andere Möglichkeit?

Das war die Information, die spyware ausgespuckt hat:

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware!

Generated 02/18/2008 at 06:22 PM

Application Version : 3.9.1008

Core Rules Database Version : 3404
Trace Rules Database Version: 1396

Scan type : Complete Scan
Total Scan Time : 01:03:24

Memory items scanned : 663
Memory threats detected : 0
Registry items scanned : 6073
Registry threats detected : 0
File items scanned : 41381
File threats detected : 52

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Gerard\Cookies\gerard@hotbar[2].txt
C:\Dokumente und Einstellungen\Gerard\Cookies\gerard@advertising[1].txt
C:\Dokumente und Einstellungen\Gerard\Cookies\gerard@content.licenseacquisition[1].txt
C:\Dokumente und Einstellungen\Gerard\Cookies\gerard@cgi-bin[1].txt
C:\Dokumente und Einstellungen\Gerard\Cookies\gerard@doubleclick[2].txt
C:\Dokumente und Einstellungen\Gerard\Cookies\gerard@media.licenseacquisition[2].txt
C:\Dokumente und Einstellungen\Gerard\Cookies\gerard@ads.mitfahrzentrale[2].txt
C:\Dokumente und Einstellungen\Gerard\Cookies\gerard@900089555233333[1].txt
C:\Dokumente und Einstellungen\Gerard\Cookies\gerard@apmebf[1].txt
C:\Dokumente und Einstellungen\Gerard\Cookies\gerard@2o7[1].txt
C:\Dokumente und Einstellungen\Gerard\Cookies\gerard@cts.metricsdirect[1].txt
C:\Dokumente und Einstellungen\Gerard\Cookies\gerard@atdmt[2].txt
C:\Dokumente und Einstellungen\Gerard\Cookies\gerard@fastclick[1].txt
C:\Dokumente und Einstellungen\Gerard\Cookies\gerard@statse.webtrendslive[1].txt

Adware.180solutions/ZangoSearch
C:\DOKUMENTE UND EINSTELLUNGEN\GERARD\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\VEF7NQ6A.DEFAULT\CACHE\3DBFBE0AD01

Trace.Known Threat Sources
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XA65PAUU\AQ_1_small[1].jpg
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\647ZA5TQ\setup_complete_zango[1].jpg
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XA65PAUU\CAQR2FUD.htm
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XA65PAUU\content.licenseacquisition[1].htm
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5LXLFBIN\carrie-underwood_small[1].jpg
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XA65PAUU\Matthew%20McConaughey%20In%20The%20News_small[1].jpg
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J5PBH8J1\z_astrology_180x135_small[1].jpg
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XA65PAUU\100x75_entertainment[1].gif
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\647ZA5TQ\btn[1].gif
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J5PBH8J1\index[1].htm
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XA65PAUU\RoA_3_large[1].jpg
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\647ZA5TQ\ncp[1].css
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J5PBH8J1\AppLook02_100x75[1].jpg
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XA65PAUU\setup_complete[2].htm
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5LXLFBIN\100x75_love[1].gif
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J5PBH8J1\luciano_drm_small[1].jpg
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XA65PAUU\shopper_large[1].gif
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XA65PAUU\zango_logo[1].gif
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J5PBH8J1\btn[1].gif
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\647ZA5TQ\Eulagateway[1].htm
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J5PBH8J1\totalsum_small[1].gif
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\647ZA5TQ\vintage_amour1_small[1].jpg
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J5PBH8J1\100x75_winter[1].gif
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\647ZA5TQ\1791234_small[1].jpg
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XA65PAUU\Penguinpanic_small[1].jpg
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J5PBH8J1\beyonce-2_small[1].jpg
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5LXLFBIN\zango_info[1].gif
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5LXLFBIN\setup_complete[1].htm
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\647ZA5TQ\CAD0WVHD.htm
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\647ZA5TQ\david_drm_small[1].jpg
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J5PBH8J1\paul_drm_small[1].jpg
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\647ZA5TQ\100x75_orangeLadies[1].gif
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\647ZA5TQ\angelina-jolie-3_small[1].jpg
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5LXLFBIN\snaptunethumb_180x135_small[1].jpg
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J5PBH8J1\ZapInSpace_small[1].jpg
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\647ZA5TQ\z_weather_180x135_small[1].jpg
C:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J5PBH8J1\info[1].gif

dr.futural

Zitat:

Gibt es denn noch eine andere Möglichkeit?

immer langsam.. wir haben grade erst angefangen.. ^^

Die Quarantäne von SUPERAntiSpyware kannst du löschen.
Hast du auch den Scan im abgesicherten Modus gemacht? Wenn nicht dann tue dies bitte.

Danach folge bitte dieser Anleitung:
Anleitung und Anwendung von SmitfraudFix

Hallo,

den Scan habe ich auch im abgesicherten Modus gemacht.
Smitfraudfix läuft bei mir nicht, wenn ich versuche, die exe.Datei zu öffnen kommt folgende Ansage: "Smitfraudfix v2.290
Process.exe file missing!
Unzip all the archive in a folder.
Drücken Sie eine beliebige Taste..."
Wenn ich das tue, schmeist er mich wieder aus der Anwendung raus. Ich habe auch versucht, smitfraudfix an anderer Stelle downzuloaden aber es hat nie geklappt.

Gruß dr.futural

Versuche bitte mal SmitfraudFix direkt auf einen USB-Stick zu downloaden. Vorher NICHT auf deine Festplatte. Und dann von dort aus zu starten.

Wenn das auch nicht funktioniert weichen wir auf rvaxo aus.


-- Rouge Spyware --

* Downloade RVAXO.exe von hier --> http://home.hetnet.nl/~stefsmeenk/RVAXO.exe
* Speichere es auf dem Desktop.
* starte die RVAXO.exe mit einem Doppelklick
* eventuell öffnet sich ein Uninstaller
* schliesse ihn nicht, lass das Programm laufen
* Starte deinen Rechner danach neu
* nach dem Neustart mach einen Doppelklick auf die RVAXO.exe
* ist sehr wichtig!
* das Logfile findest du hier: C:\RVAXO-results.log

Das mit Smitfraudfix hat leider nicht geklappt, aber ich habe RVAXO ausgeführt, wie Du es gesagt hast. Bei "results" steht:

---RVAXO.exe Updated: 2008-02-18---first run---
Files found:

Uninstallers:


Folders Found:


Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------

Files found:

Folders Found:

--------------RVAXO.exe finished----------------

Trotzdem öffnet firefox alle drei Minuten eine Werbeseite

dr.futural

Dann müssen wir wohl etwas weiter ausholen.

1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

2) Deinstalliere Java über die Systemsteuerung.

3) Blacklight bitte laufen lassen und das log posten..

4) Lasse Silentrunners laufen und poste die logFiles..

5) Folge dieser Anleitung.

6) Run Combofix. Poste den erscheinenden Text.

7) Durchsuche mit dem Kaspersky Online Scanner dein System. Danach update bitte dein eigenes AV-Prog und wechsel in den abgesicherten Modus. Dort führe einen Vollscan mit höchsten Scan-optionen durch.

8) Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

9) Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).

10) Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log.

Vielleicht schon mal kurz ein Zwischenergebnis: Blacklight hat 4 items ausfindig gemacht, die aber das Problem an sich nicht behoben haben. Folgendes logfile zu blacklight:
02/19/08 13:44:16 [Info]: BlackLight Engine 1.0.67 initialized
02/19/08 13:44:16 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/19/08 13:44:17 [Note]: 7019 4
02/19/08 13:44:17 [Note]: 7005 0
02/19/08 13:44:26 [Note]: 7006 0
02/19/08 13:44:26 [Note]: 7011 1948
02/19/08 13:44:26 [Note]: 7026 0
02/19/08 13:44:26 [Note]: 7026 0
02/19/08 13:44:26 [Note]: 7024 3
02/19/08 13:44:26 [Info]: Hidden process: C:\dokumente und einstellungen\gerard\lokale einstellungen\anwendungsdaten\hhiijabb
02/19/08 13:44:30 [Note]: FSRAW library version 1.7.1024
02/19/08 13:44:33 [Info]: Hidden file: c:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Anwendungsdaten\hhiijabb.da
02/19/08 13:44:33 [Note]: 10002 1
02/19/08 13:44:33 [Info]: Hidden file: C:\dokumente und einstellungen\gerard\lokale einstellungen\anwendungsdaten\hhiijabb.ex
02/19/08 13:44:33 [Note]: 10002 1
02/19/08 13:44:33 [Info]: Hidden file: c:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Anwendungsdaten\hhiijabb_na
02/19/08 13:44:33 [Note]: 10002 1
02/19/08 13:44:34 [Info]: Hidden file: c:\Dokumente und Einstellungen\Gerard\Lokale Einstellungen\Anwendungsdaten\hhiijabb_na
02/19/08 13:44:34 [Note]: 10002 1
02/19/08 13:54:51 [Note]: 7007 0 Von Silentrunner habe ich das logfile kopiert, es ist aber 190 Seiten lang!! Nach welchen Kriterien kann ich davon denn Teile aussieben? Es macht ja keinen Sinn, alles zu kopieren?!
Dieses Mal lief Smitfraud auch bei mir und hat folgendes logfile ausgespuckt:
SmitFraudFix v2.290

Scan done at 13:00:09,42, 19.02.2008
Run from C:\Programme\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\HPQ\IAM\bin\asghost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\HHVcdV7Sys\VC7Play.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\dokumente und einstellungen\gerard\lokale einstellungen\anwendungsdaten\hhiijabb.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\IFXSPMGT.exe
C:\WINDOWS\system32\IFXTCS.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\ProtectTools\Embedded Security Software\PSDsrvc.EXE
C:\Programme\HHVcdV7Sys\VC7SecS.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\ProtectTools\Embedded Security Software\PSDrt.exe
C:\Programme\Virtual CD v7\System\VC7Tray.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Gerard


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Gerard\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Gerard\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom 802.11a/b/g WLAN - Paketplaner-Miniport
DNS Server Search Order: 213.191.92.87
DNS Server Search Order: 62.109.123.6

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A2FC7BB2-4296-4EF4-B455-261F6B9B1ABF}: DhcpNameServer=213.191.92.87 62.109.123.6
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A2FC7BB2-4296-4EF4-B455-261F6B9B1ABF}: DhcpNameServer=213.191.92.87 62.109.123.6
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A2FC7BB2-4296-4EF4-B455-261F6B9B1ABF}: DhcpNameServer=213.191.92.87 62.109.123.6
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=213.191.92.87 62.109.123.6
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=213.191.92.87 62.109.123.6
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=213.191.92.87 62.109.123.6


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Bei Smitfraud habe ich auch nochmal "clean" im abgesicherten Modus gemacht. Weiter bin ich bisher nicht gekommen.

dr.futural

STOP!

Befor du weitermachst müssen wir uns um die Rootkits kümmern!!!
Ich muss dir aber mitteilen, dass dein Rechner höchstgradig infiziert ist. Eine Bereinigung könnte äußerst schwierig werden und stellt kein vertrauenswürdiges System mehr her da der Rechner kompromitiert ist.

Hast du die Dateien von Blacklight umbennen lassen?

Scanne abermals mit Blacklight und poste das log.

Ich habe Windows XP jetzt einfach neu installiert und vorher die Festplatte neuformatiert. Ist diese Infizierung automatisch damit erledigt? Oder ist vielleicht noch sowas wie der Bootsektor betroffen?

Wenn du die Anleitung aus meiner Signatur befolgt hast dann ist dein Rechner def. sauber.