Hallo,
ich habe das Problem, dass immer wieder, wenn ich online bin, ein Fenster mit grauem Inhalt und dem Namen web page dialog erscheint. Wenn ich es wegklicke, dann bleibt der PC für etwa 15 sec stecken und dann ist das Fenster weg. Das dazugehörige Feld unten in der Leiste ist aber dennoch vorhanden und ich kann es nur mit dem Windows Task Manager schließen. In dem Feld steht advertising. com (oder so ähnlich), manchmal wird daraus Gea Web Hosting. Wenn ich das Fenster nicht schnell genug schließe, dann kommt eine Sicherheitswarnung von Sfondi, die ich verneine. Daraufhin erscheint ein weiteres Fenster mit Werbung für wallpaper. Ich habe mir ein paar wallpaper aus dem Netz kopiert und mir dabei wohl Sondi eingefangen, oder ? Ach, ja Ad-aware, Spybot, Norton antivirus und AVG finden nichts. Im Registrierungs Editor ist kein Eintrag vorhanden, ich verwende auch den Google Pop up Blocker.

Mfg
mabo

Poste bitte mal ein HijackThis-Log.

Beim Download von Wallpaper aus unseriösen Quellen ist es nicht schwer sich Malware einzufangen.

Logfile of HijackThis v1.98.0
Scan saved at 15:28:14, on 30.05.2002
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Programme\Norten Antivir\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\Creative\SBLive2k\AudioHQ\AHQTB.EXE
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\tjtjurp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Norten Antivir\AVGUARD.EXE
C:\WINDOWS\System32\ATMsrvc.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Programme\Norten Antivir\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\imapi.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\sessmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\tlntsvr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\dmadmin.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Dokumente und Einstellungen\Magdalena\Eigene Dateien\exe Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: jimmyhelp.CBrowserHelper - {593B6246-C95B-423F-A832-9EE633C1C249} - C:\WINDOWS\svydb.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Norten Antivir\AVGNT.EXE /min
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive2k\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [nrkxe] C:\WINDOWS\tjtjurp.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{43171CBF-E9EC-4358-8245-4794F631E7DB}: NameServer = 217.237.151.33 194.25.2.129

MfG
mabo

C:\WINDOWS\tjtjurp.exe
C:\WINDOWS\System32\ATMsrvc.exe
C:\WINDOWS\svydb.dll
Diese Dateien mal hier überprüfen: http://www.kaspersky.com/de/scanforvirus
Ergebnis?

Danach mal dies: http://www.trojaner-board.de/showthread.php?t=6083

Danach poste bitte ein neues HijackThis-Log!

Zu überprüfende Datei: tjtjurp.exe

tjtjurp.exe Infiziert: TrojanClicker.Win32.VB.ca





Zu überprüfende Datei: ATMsrvc.exe

ATMsrvc.exe Ok



Zu überprüfende Datei: svydb.dll

svydb.dll Infiziert: TrojanDownloader.Win32.Lemmy.u



und



eScan



File C:\WINDOWS\tjtjurp.exe infected by "TrojanClicker.Win32.VB.ca" Virus. Action Taken: File Deleted.

File C:\WINDOWS\svydb.dll infected by "TrojanDownloader.Win32.Lemmy.u" Virus. Action Taken: File to be deleted on reboot.

File C:\Dokumente und Einstellungen\Magdalena\Desktop\Hausaufgabe Kunst\opalka\OPALKA 1965.bmp infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File C:\Dokumente und Einstellungen\Magdalena\Desktop\Schulordner\Schule\Logos u. ä\casper-sschoner.exe tagged as not-a-virus:AdvWare.NewDotNet. No Action Taken.

File C:\Dokumente und Einstellungen\Magdalena\Favoriten\.Bilim ve Teknik Web SitesiCanlilar DünyasiYilanlar..url infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File C:\Dokumente und Einstellungen\Magdalena\Favoriten\B-vrh Adamuv hrádek.url infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File C:\Dokumente und Einstellungen\Magdalena\Favoriten\Hodowla Dogów Niemieckich Byc Moze....url infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File C:\System Volume Information\_restore{1A160651-01BF-4B87-B4A0-FAC57B5107EC}\RP50\A0035029.exe infected by "TrojanClicker.Win32.VB.ca" Virus. Action Taken: File Deleted.

File C:\WINDOWS\Temp\~GL_3513.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File D:\kopierte\Eigene Bilder\Hunde\Sonstige Hunde\Cenn Modrý kvet z.jpg infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File D:\kopierte\Eigene Bilder\Hunde\Sonstige Hunde\Cenn Modrý kvet.jpg infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File D:\kopierte\Eigene Bilder\Hunde\Sonstige Hunde\Claudio z Jasné hvezdy.jpg infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File D:\kopierte\Eigene Bilder\Hunde\Sonstige Hunde\Griffin Modrý kvet z.jpg infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File D:\kopierte\Eigene Bilder\Hunde\Sonstige Hunde\Griffin Modrý kvet.jpg infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File D:\kopierte\Eigene Bilder\Hunde\Sonstige Hunde\Lovely Boy od Chlpíku.jpg infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File D:\kopierte\Eigene Bilder\Hunde\Pudel\apricot\GOLDEN HETTY from Derze CS.jpg infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File D:\kopierte\Favoriten\Warane\Auricomus - Hodowla Pudli Duzych Morelowych.url infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File D:\kopierte\Favoriten\Hunde\Galeria zdjec Mon Leo.url infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File D:\kopierte\Favoriten\Hunde\Hodowla Dogów Niemieckich De MIRANKO - Galerie zdjec.url infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.



Neustart



und



Logfile of HijackThis v1.98.0

Scan saved at 22:04:35, on 30.05.2002

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Creative\ShareDLL\CtNotify.exe

C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe

C:\Programme\Norten Antivir\AVGNT.EXE

C:\Programme\QuickTime\qttask.exe

C:\WINDOWS\System32\devldr32.exe

C:\Programme\Creative\ShareDLL\MediaDet.Exe

C:\WINDOWS\system32\netdde.exe

C:\Programme\Creative\SBLive2k\AudioHQ\AHQTB.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Dokumente und Einstellungen\Magdalena\Eigene Dateien\exe Dateien\HijackThis.exe

C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe

C:\Programme\Norten Antivir\AVGUARD.EXE

C:\WINDOWS\System32\ATMsrvc.exe

C:\PROGRA~1\Grisoft\AVG6\avgserv.exe

C:\Programme\Norten Antivir\AVWUPSRV.EXE

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\System32\dllhost.exe

C:\WINDOWS\System32\CTsvcCDA.EXE

C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\System32\imapi.exe

C:\WINDOWS\System32\mnmsrvc.exe

C:\WINDOWS\System32\msiexec.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\sessmgr.exe

C:\WINDOWS\System32\rsvp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\tlntsvr.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\dmadmin.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll

O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP

O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Norten Antivir\AVGNT.EXE /min

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive2k\AudioHQ\AHQTB.EXE

O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html

MfG
mabo

Hmm, bei dieser Datei scheint es sich noch um Malware zu handeln:
C:\WINDOWS\System32\ATMsrvc.exe
Schick sie mir mal bitte auf partytime-germany.ice@web.de zu.

Scheint Spyware zu sein:
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe" Fixen!

Danach whSurvey.exe löschen!

Ansonsten schauts jetzt sauberer aus.

Hallo,

die Datei C:\WINDOWS\System32\ATMsrvc.exe hab ich dir geschickt.

Unter C:\Program Files ist kein webHancer\Programs\whSurvey.exe sichtbar.

Mit der Suchfunktion habe ich aber in C:\Programme\whInstall ein whSurvey.exe gefunden und gelöscht, war das dasselbe ? Was meinst du mit fixen ?
Und wo ist O4 - HKLM\..\Run: [webHancer Survey Companion] oder gehörte das zur obigen Datei ? Und danke für die bisherigen Tipps !

MfG
mabo

Du hast webHancer deinstalliert?

Ja, dies mit HijackThis fixen:
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe

Du könntest dir einen sicherern Browser zulegen.
www.firefox-browser.de ist schnell, sicher und kostenlos.
So fällt mir nix mehr auf .....

Nein ich bin unten auf das Startfeld, dann auf Suchen gegangen und habe whSurvey.exe eingegeben. Das wurde dann in C:\Programme\whInstall gefunden und ich habe es mit einem Rechtsklick mit der Maus gelöscht und anschließend den Papierkorb geleert. Oder kann man so keinen Virus löschen



Ah, jetzt habe ich es verstanden !

O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe ist gefixt



An einen anderen Browser habe ich auch schon gedacht, nur habe ich eine Riesenlinksammlung und da müsste ich auf jede Seite nochmal gehen und den Link erneut in den neuen Browser eintragen. Oder geht es auch anders ?



Was meinst du ist denn jetzt bei C:\WINDOWS\System32\ATMsrvc.exe ?



MfG

mabo

Zitat:

Zitat von mabo

An einen anderen Browser habe ich auch schon gedacht, nur habe ich eine Riesenlinksammlung und da müsste ich auf jede Seite nochmal gehen und den Link erneut in den neuen Browser eintragen. Oder geht es auch anders ?

Ja. Deine Favoriten werden bei der Installation von Firefox automagisch übernommen. Auch Cookies, glaub ich, wenn Du wills.

Gruß
Yopie

Hi, habe Firefox eben installiert und es sind auch alle links übernommen worden.

Cool

MfG
mabo

@Christian: Was ist denn jetzt mit C:\WINDOWS\System32\ATMsrvc.exe ?

MfG
mabo

Hab ich dir doch schon per Mail geschrieben.
Die Datei war sauber.

Oh, stimmt, hatte erwartet, dass du das Ergebnis hier reinschreibst.
Vielen Dank für deine Mühe !

MfG
mabo