pikxenwho

reneex · 27.02.2008, 00:29

moin moin,

ich bekomme immer wieder popups mit werbung fuer anti trojaner usw. spybot findet aber nichts. ein eintrag in der registry laesst sich aber partout nicht abschalten. gefunden habe ich im netz dazu auch nichts. bei suche, unter einbeziehung aller versteckten dateien und ordner, ist dieser eintrag nicht zu finden. ich kann ihn also nicht mal loeschen.

((
habe einen screenshot von der spybot anzeige angehaengt. weis nicht ob ich es erlauben soll. verweigern geht nicht. das spybotfenste springt jede sekunde wieder auf mit der frage. mit merke diese entscheidung das selbe, nur muss ich dann nicht mehr selber verweigern. sehr seltsam.

matthias

undoreal · 27.02.2008, 13:50

Auf jeden Fall weiter verweigern!

Poste bitte ein HijackThis log. Anleitung gibt's im FAQ-Bereich.

reneex · 27.02.2008, 14:04

hier wie von undoreal vorgegeben der HJT log

Logfile of HijackThis v1.99.1
Scan saved at 16:00:06, on 27.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
e:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
E:\WINDOWS\system32\acs.exe
E:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\svchost.exe
E:\Programme\ORiNOCO\WirelessClient\Utility\orinoco.exe
E:\Programme\Java\jre1.6.0_03\bin\jusched.exe
E:\Programme\Synaptics\SynTP\SynTPEnh.exe
E:\WINDOWS\system32\rundll32.exe
E:\WINDOWS\RTHDCPL.EXE
E:\programme\onlineeye pro\onlineeye.exe
E:\WINDOWS\system32\LVCOMSX.EXE
E:\PROGRA~2\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
E:\PROGRA~2\Nokia\NOKIAP~1\TRAYAP~1.EXE
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
E:\PROGRA~2\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
E:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
E:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
E:\WINDOWS\System32\svchost.exe
E:\DOKUME~1\Besitzer\LOKALE~1\Temp\RtkBtMnt.exe
E:\Programme\ICQ6\ICQ.exe
E:\Programme\Skype\Phone\Skype.exe
E:\Programme\Skype\Plugin Manager\skypePM.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Windows Live\installer\WLSetupSvc.exe
E:\Programme\Windows Live\Messenger\msnmsgr.exe
E:\Programme\Windows Media Player\wmplayer.exe
E:\PROGRA~2\Nokia\NOKIAP~1\COMPON~1\PHONEB~1\NOKIAV~1.EXE
E:\Programme\GIMP-2.0\bin\gimp-2.4.exe
E:\Programme\GIMP-2.0\lib\gimp\2.0\plug-ins\script-fu.exe
E:\Programme\WinAce\WinAce.exe
E:\DOKUME~1\Besitzer\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - E:\PROGRA~2\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - E:\Programme\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~2\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - E:\Programme\FlashGet\getflash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\programme\google\googletoolbar2.dll
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\Programme\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [proxim_orinoco_11abg] E:\Programme\ORiNOCO\WirelessClient\Utility\orinoco.exe -nogui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [SynTPEnh] E:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] E:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [Acer LANScope] E:\Programme\Acer\LANScope\bin\usm.exe
O4 - HKLM\..\Run: [OnlineTime] "e:\programme\onlineeye pro\onlineeye.exe"
O4 - HKLM\..\Run: [LVCOMSX] E:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [orinoco] "E:\Programme\ORiNOCO\WirelessClient\Utility\orinoco.exe" -nogui
O4 - HKLM\..\Run: [DataLayer] E:\PROGRA~2\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] E:\PROGRA~2\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "E:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] E:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "E:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [GMX SMS-Manager] E:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Adobe Reader Synchronizer.lnk.disabled
O4 - Global Startup: Adobe Reader - Schnellstart.lnk.disabled
O8 - Extra context menu item: &Alles mit FlashGet laden - E:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - E:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - E:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - E:\Programme\PartyGaming\PartyGammon\RunBackGammon.exe
O9 - Extra 'Tools' menuitem: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - E:\Programme\PartyGaming\PartyGammon\RunBackGammon.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - E:\PROGRA~2\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~2\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~2\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10/StagingUI.cab55579.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (MSN Games – Buddy Invite) - http://zone.msn.com/BinFrameWork/v10/ZBuddy.cab55579.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10/ZPAChat.cab55579.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1177634389290
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.lokalisten.de/iup/ImageUploader4.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - http://zone.msn.com/binframework/v10/StProxy.cab55579.cab
O16 - DPF: {FF3C5A9F-5A99-4930-80E8-4709194C2AD3} (MSN Games – Backgammon) - http://zone.msn.com/bingame/zpagames/ZPA_Backgammon.cab64162.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - E:\PROGRA~2\WINDOW~3\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - E:\PROGRA~2\WINDOW~3\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~2\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - E:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - E:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Proxim Configuration Service (ACS) - Unknown owner - E:\WINDOWS\system32\acs.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - E:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - E:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - e:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe

ich hoffe das hilft weiter. spybot warted auf antwort

undoreal · 27.02.2008, 14:17

Das log ist sauber.

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

pikxenwho ( Dateipfad kannst du ja aus der Spybot Meldung auslesen..

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

reneex · 27.02.2008, 14:33

hallo undoreal,

bin deinen anweisungen EXAKT gefolgt. es wird aber KEINE datei gefunden. ich habe mir den ordner "anwendungsdaten" selber angesehen, da gibt es nix mit diesem namen. ich hab den gesamten rechner durchsuchen lassen. NIX. natuerlich habe ich vorher auch die vesteckten, system und unterordener mit einbezogen. laut windows suche gibt es diese datei nicht. laut spybot aber schon. spybot zeigt auch an wo sie angeblich sein soll, aber da ist nix. lustigerweise erscheine die popups nicht mehr seit ich die erlaubniss offen lasse.
hast du vielleicht noch ne andere idee?

Matthias

PS: habe onlinescan laufen lassen von housecall. alles ok laut denen

KarlKarl · 27.02.2008, 17:32

Hi,

als mein Gefühl sagt Navipromo, aber das kann natürlich täuschen.

Catchme scannen lassen

Lade dir Catchme runter auf deinen Desktop.
Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.

Hast Du irgendwas installiert, bevor diese Meldungen losgegangen sind?

Gruß, Karl

reneex · 27.02.2008, 19:24

@ realundo

hab den rechner mal runtergefahren und neu gestartet. dann die suche widerholt, und siehe da... habs gefunden.
hier die ergebnisse der tests:

Datei pikxenwho.exe empfangen 2008.02.27 19:11:04 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 3/32 (9.38%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 7.
Geschätzte Startzeit is zwischen 59 und 85 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.27.0 2008.02.27 -
AntiVir 7.6.0.67 2008.02.27 -
Authentium 4.93.8 2008.02.27 -
Avast 4.7.1098.0 2008.02.27 -
AVG 7.5.0.516 2008.02.27 -
BitDefender 7.2 2008.02.27 -
CAT-QuickHeal 9.50 2008.02.26 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.02.27 -
DrWeb 4.44.0.09170 2008.02.27 -
eSafe 7.0.15.0 2008.02.26 -
eTrust-Vet 31.3.5567 2008.02.27 -
Ewido 4.0 2008.02.27 -
FileAdvisor 1 2008.02.27 -
Fortinet 3.14.0.0 2008.02.27 -
F-Prot 4.4.2.54 2008.02.26 -
F-Secure 6.70.13260.0 2008.02.27 -
Ikarus T3.1.1.20 2008.02.27 -
Kaspersky 7.0.0.125 2008.02.27 -
McAfee 5238 2008.02.26 -
Microsoft 1.3301 2008.02.27 -
NOD32v2 2906 2008.02.27 -
Norman 5.80.02 2008.02.26 -
Panda 9.0.0.4 2008.02.27 -
Prevx1 V2 2008.02.27 Heuristic: Suspicious Self Modifying EXE
Rising 20.33.22.00 2008.02.27 -
Sophos 4.27.0 2008.02.27 -
Sunbelt 3.0.893.0 2008.02.23 -
Symantec 10 2008.02.27 -
TheHacker 6.2.9.229 2008.02.25 -
VBA32 3.12.6.2 2008.02.27 -
VirusBuster 4.3.26:9 2008.02.27 -
Webwasher-Gateway 6.6.2 2008.02.27 Trojan.Keylogger.Win32.Malware.gen!46 (suspicious)
weitere Informationen
File size: 339968 bytes
MD5: 1fe30cb8f16b27a499e55a31d15158c0
SHA1: eeea9cd54006637bf2ab63bbd87771b456707a9f
PEiD: Armadillo v1.71
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=3F74F439000D8922308205516447F50098DF48EA

Datei urtxukj_nav.dat empfangen 2008.02.25 15:26:41 (CET)
Status: Beendet

Ergebnis: 0/32 (0.00%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.22.0 2008.02.22 -
AntiVir 7.6.0.67 2008.02.25 -
Authentium 4.93.8 2008.02.24 -
Avast 4.7.1098.0 2008.02.24 -
AVG 7.5.0.516 2008.02.25 -
BitDefender 7.2 2008.02.25 -
CAT-QuickHeal 9.50 2008.02.22 -
ClamAV 0.92.1 2008.02.25 -
DrWeb 4.44.0.09170 2008.02.25 -
eSafe 7.0.15.0 2008.02.21 -
eTrust-Vet 31.3.5562 2008.02.25 -
Ewido 4.0 2008.02.25 -
FileAdvisor 1 2008.02.25 -
Fortinet 3.14.0.0 2008.02.25 -
F-Prot 4.4.2.54 2008.02.24 -
F-Secure 6.70.13260.0 2008.02.25 -
Ikarus T3.1.1.20 2008.02.25 -
Kaspersky 7.0.0.125 2008.02.25 -
McAfee 5236 2008.02.22 -
Microsoft 1.3204 2008.02.25 -
NOD32v2 2899 2008.02.25 -
Norman 5.80.02 2008.02.25 -
Panda 9.0.0.4 2008.02.25 -
Prevx1 V2 2008.02.25 -
Rising 20.33.02.00 2008.02.25 -
Sophos 4.26.0 2008.02.25 -
Sunbelt 3.0.893.0 2008.02.23 -
Symantec 10 2008.02.25 -
TheHacker 6.2.9.228 2008.02.23 -
VBA32 3.12.6.1 2008.02.21 -
VirusBuster 4.3.26:9 2008.02.24 -
Webwasher-Gateway 6.6.2 2008.02.25 -
weitere Informationen
File size: 387461 bytes
MD5: 0788ea73fcca233a4a89058c93b386fb
SHA1: 71a22036d1ffe7720754e170061bb6796e840385
PEiD: -

Datei pikxenwho_navps.dat empfangen 2008.02.27 19:12:42 (CET)
Status: Beendet

Ergebnis: 0/32 (0.00%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.27.0 2008.02.27 -
AntiVir 7.6.0.67 2008.02.27 -
Authentium 4.93.8 2008.02.27 -
Avast 4.7.1098.0 2008.02.27 -
AVG 7.5.0.516 2008.02.27 -
BitDefender 7.2 2008.02.27 -
CAT-QuickHeal 9.50 2008.02.26 -
ClamAV 0.92.1 2008.02.27 -
DrWeb 4.44.0.09170 2008.02.27 -
eSafe 7.0.15.0 2008.02.26 -
eTrust-Vet 31.3.5567 2008.02.27 -
Ewido 4.0 2008.02.27 -
FileAdvisor 1 2008.02.27 -
Fortinet 3.14.0.0 2008.02.27 -
F-Prot 4.4.2.54 2008.02.26 -
F-Secure 6.70.13260.0 2008.02.27 -
Ikarus T3.1.1.20 2008.02.27 -
Kaspersky 7.0.0.125 2008.02.27 -
McAfee 5238 2008.02.26 -
Microsoft 1.3301 2008.02.27 -
NOD32v2 2906 2008.02.27 -
Norman 5.80.02 2008.02.26 -
Panda 9.0.0.4 2008.02.27 -
Prevx1 V2 2008.02.27 -
Rising 20.33.22.00 2008.02.27 -
Sophos 4.27.0 2008.02.27 -
Sunbelt 3.0.893.0 2008.02.23 -
Symantec 10 2008.02.27 -
TheHacker 6.2.9.229 2008.02.25 -
VBA32 3.12.6.2 2008.02.27 -
VirusBuster 4.3.26:9 2008.02.27 -
Webwasher-Gateway 6.6.2 2008.02.27 -
weitere Informationen
File size: 1403 bytes
MD5: 2bcb0ebb0223ca1403d1ff8f58dc3325
SHA1: 51b2848bf23efe59fc9548ca594e4c4f7adf474b
PEiD: -

Datei pikxenwho.dat empfangen 2008.02.27 19:12:11 (CET)
Status: Beendet

Ergebnis: 0/32 (0.00%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.27.0 2008.02.27 -
AntiVir 7.6.0.67 2008.02.27 -
Authentium 4.93.8 2008.02.27 -
Avast 4.7.1098.0 2008.02.27 -
AVG 7.5.0.516 2008.02.27 -
BitDefender 7.2 2008.02.27 -
CAT-QuickHeal 9.50 2008.02.26 -
ClamAV 0.92.1 2008.02.27 -
DrWeb 4.44.0.09170 2008.02.27 -
eSafe 7.0.15.0 2008.02.26 -
eTrust-Vet 31.3.5567 2008.02.27 -
Ewido 4.0 2008.02.27 -
FileAdvisor 1 2008.02.27 -
Fortinet 3.14.0.0 2008.02.27 -
F-Prot 4.4.2.54 2008.02.26 -
F-Secure 6.70.13260.0 2008.02.27 -
Ikarus T3.1.1.20 2008.02.27 -
Kaspersky 7.0.0.125 2008.02.27 -
McAfee 5238 2008.02.26 -
Microsoft 1.3301 2008.02.27 -
NOD32v2 2906 2008.02.27 -
Norman 5.80.02 2008.02.26 -
Panda 9.0.0.4 2008.02.27 -
Prevx1 V2 2008.02.27 -
Rising 20.33.22.00 2008.02.27 -
Sophos 4.27.0 2008.02.27 -
Sunbelt 3.0.893.0 2008.02.23 -
Symantec 10 2008.02.27 -
TheHacker 6.2.9.229 2008.02.25 -
VBA32 3.12.6.2 2008.02.27 -
VirusBuster 4.3.26:9 2008.02.27 -
Webwasher-Gateway 6.6.2 2008.02.27 -
weitere Informationen
File size: 7968 bytes
MD5: 60736ec5531b30102f7744063d92b553
SHA1: 5dd42297bfb5a850ba7636751fb6fb0112324802
PEiD: -

das wars. ich hoffe du kannst damit was anfangen. kann ich die exe datei nicht einfach loeschen?

matthias

undoreal · 27.02.2008, 20:44

Karl's Bauch spricht häufig ganz gute Dinge zu ihm..

Mach mal den catchme scan. Solange die .exe bitte drauf lassen..

reneex · 27.02.2008, 20:54

hier das catchme.log

allerdings ist das programm wohl nicht am laufen. spybot verhindert die ausfuehrung.
bekomme jetzt aber nicht mehr die laestigen werbe dinger.

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-27 22:51:34
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

undoreal · 27.02.2008, 21:08

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:

hier den kompletten Dateipfad der pikxenwho einfügen

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

27.02.2008, 13:50	#2
undoreal /// AVZ-Toolkit Guru	pikxenwho Auf jeden Fall weiter verweigern! Poste bitte ein HijackThis log. Anleitung gibt's im FAQ-Bereich. __________________ __________________

27.02.2008, 20:44	#8
undoreal /// AVZ-Toolkit Guru	pikxenwho Karl's Bauch spricht häufig ganz gute Dinge zu ihm.. Mach mal den catchme scan. Solange die .exe bitte drauf lassen.. __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

pikxenwho

Plagegeister aller Art und deren Bekämpfung: pikxenwho

pikxenwho

pikxenwho

pikxenwho

pikxenwho

pikxenwho

pikxenwho

pikxenwho

pikxenwho

pikxenwho

pikxenwho