Hallo,

ich brauche mal eure Hilfe.
Ich habe mir vor 2 Tagen irgendwas von GAIN Publishing eingefangen. Ich bekomme immer wieder die Installationsaufforderung zur DashBar Precision Time.... Natürlich habe ich diese nicht installiert. Aber ich würde gerne diese nervige Aufforderung wieder loswerden.
Ich habe schon alles mögliche versucht und alle Programme wie hier hxxp://www.trojaner-info.de/hijacker/entfernung.shtml beschrieben drüber laufen lassen und nichts nennenswertes gefunden. Und wenn eines der Programme etwas gefunden hat, habe ich alles gefixt. Aber diese Installationsaufforderung kommt jedes mal wieder. Zum Verzweiflen.
Jetzt lasse ich gerade den eScan drüber laufen, der bisher nur dies gefunden hat: File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Und einiges in der Norton Quarantäne.

Ok, hier mein Logfile von HijackThis, in der Hoffnung jemand kann mir weiterhelfen:

Logfile of HijackThis v1.98.2
Scan saved at 06:31:44, on 10.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\mobsync.exe
C:\WINNT\system32\sstray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\taskmgr.exe
C:\DOKUME~1\--\LOKALE~1\Temp\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\Bases\mwavscan.com
C:\Bases\kavss.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = hxxp://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

Vielen Dank schonmal.
Gruß
Marion

Hallo,

das Log-File sieht soweit sauber aus.
Bei welchen Seiten erhältst du die Installationsaufforderung?

Arbeite aber trotzdem dies hier durch:
http://www.pestpatrol.com/PestInfo/d/dashbar.asp

Bei keiner bestimmten. Das Aufforderungsfenster geht einfach irgendwann automatisch auf, egal auf welcher Seite ich gerade bin.

Das habe ich schon alles durchgemacht und keine dieser Dateien auf dem Rechner bzw. keinen der Einträge in der Registry. Deswegen bin ich ja so verzweifelt.

Jetzt ist der Rechner gerade mal 20 Minuten an und schon geht das Installationsfenster wieder auf. Und ich habe nur spiegel. de und das Board hier offen.

Wenn ich diese Installationsaufforderung schließe, geht ein neues Fenster im IE. Dieses soll irgendwas in die Registry schreiben und cookies anlegen. Aber das ändert sich an der Gesamtsituation nichts. Alle tools die ich drüber laufen lasse finden nichts.

Was tun??? Irgendwoher muss dieser Scheiß ja kommen??
Ich habe schon stundenlang in sämtlichen Foren und Newsgroups gesucht, aber fast alles liefert nur Informationen darüber, wie man die Dashbar wieder deinstalliert. Das hilft mir ja nichts, da ich das nie getan habe.

Gruß
Marion

Installiere Clear Prog und lösche damit deine TIF und Cookies.

Danach den IE sicherer konfigurieren http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html

Hab ich gemacht. Kommt trotzdem wieder :-(
Trotzdem danke.
Noch irgendwelche Ideen??

Scanne mit Ad-Aware und Spybot S&D im abgesicherten Modus http://www.trojaner-board.de/63335-w...s-starten.html .

Hab ich alles gemacht. Schon mehrmals.
Mir fällt wirklich langsam nichts mehr ein, was ich noch tun könnte oder wonach ich suchen sollte? Das Ding geht einfach nicht weg.

Kann mir jemand noch irgendwas empfehlen?
Oder irgendein anderes Forum oder ne gute Internetseite mit Tipps?

Bin echt am Verzweifeln!

Gruß
Marion

Hallo MarionQ,

Zitat:

Jetzt lasse ich gerade den eScan drüber laufen, der bisher nur dies gefunden hat: File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Und einiges in der Norton Quarantäne.

Hast Du den eScan im abgesicherten Modus offline durchgeführt? Wenn Du die neue Version des eScan hast, musst Du die Viren von Hand löschen: eScan 4.5.1 ("Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!")

Den Norton Quarantäne Ordner solltest Du leeren, also den Inhalt löschen.

SD

Hallo,

ich hab da eine Vermutung woher diese Aufforderung kommt. Ich hab die kürzlich immer dann erhalten, wenn ICQ gestartet wurde, und zwar nur mit aktiviertem Willkommensbildschirm. Hatte selber das Problem und im anderen Forum (Spotlight.de) gepostet:http://spotlight.de/zforen/sec/m/sec...873-20307.html

Lt. Neuber.com ist das definitiv Spyware, hohes Sicherheitsrisiko. Hier zum Nachlesen: http://www.neuber.com/taskmanager/de...s/gmt.exe.html

Gruß,
Arne

Hallo,
vielen Dank für Deinen Hinweis. Bin mir aber nicht wirklich sicher, ob das daher kommt. Ich habe den Willkommensscreen beim ICQ nicht aktiviert.
Dafür würde aber sprechen, dass ich meinen Rechner komplett neu installiert habe und es schon wieder da ist dieses verfluchte Fenster.
Iregendwie verstehe ich es nicht, ich benutze ICQ schon seit Jahren und hatte so etwas noch nie.
Und jetzt habe ich 2 Tage am neuinstallierten Rechner gearbeitet mit ICQ und es kam nicht, und jetzt ist es plötzlich wieder da.
Das treibt mich echt in den Wahnsinn.
Wie hast du es denn letztendlich wegbekommen?

Gruß
Marion

Hallo MarionQ,

wenn Du Deinen Rechner neu installiert hast, solltest Du ein paar Punkte beachten:

Ich zitiere MountainKing (leicht verändert), der das a.a.O. so gut formuliert hat: Formatieren+Neuaufsetzen

Zitat:

Zitat von MountainKing

[..] Nach der Neuinstallation solltest du als erstes Windowsupdate besuchen und alle Patches installieren, danach auf einen alternativen Browser (firefox, mozilla, opera) umsteigen und den IE nur noch zum Windows-Update benutzen, in den Internetoptionen bzw. in den Browsern selbst aktive Inhalte (Java-Script, VBS, Active-X) deaktivieren. Nicht jede angepriesene Shareware installieren, vorher im Netz informieren, ob sie eventuell Spyware enthält, keine mailanhänge öffnen, bei denen du nicht 100%ig sicher bist, dass sie wirklich in ordnung sind. Ein Virenscanner kann nicht schaden (AntivirPE ist für einen kostenlosen Scanner ok), ist aber keinesfalls ein 100%iger Schutz, genausowenig wie alle andere Schutzsoftware.

Pflichtlektüre:

http://www.mathematik.uni-marburg.d...compromise.html
http://faq.underflow.de/

Es ist unbedingt wichtig zu verstehen, dass DU selbst in 99% der Fälle der Grund für eine Infektion des Systems bist und dort muss auch angesetzt werden, diese "Basisarbeit" kann keine Software übernehmen. Klingt vielleicht etwas hart, sorry, aber ist leider die Wahrheit.

siehe auch die Antwort von Markus: ICQ Popup: "Das ist eine Installation, die über ein Active X Steuerelement des IE erfolgen soll. Einige Software nutzt ungefragt die IE-Engine, dann kann es zu solchen Problemen kommen. Versuch den IE - bis auf das Windowsupdate - auszusperren".

SD

Ich glaube nicht, dass ICQ der Ursprung ist, wennd as mit GAIN gebundled wäre, hätte das schon lange Aufregung verursacht und wäre bekannt gewesen. Was hast du denn nach der Neuinstallation noch so installiert? Downloadmanager, Filesharingprogramme, Mediaplayer usw.

Der Hinweis mit Active-X ist auf jeden Fall trotzdem gut, das solltest du deaktivieren, außer für Seiten, die sicher sind und auf denen du es definitiv brauchst, also evtl. Online-Virenscanner und Windowsupdate. IE sollte sowieso nur für letzteres verwendet werden, ansonsten teste opera, firefox oder mozilla und verwende den, der dir am besten gefällt.

Danke, aber ich habe nicht das erste mal meinen Rechner neu aufgesetzt.
Ich habe alle Windows-Updates gemacht, alles Patches drauf, einen Virenscanner drauf, ne Firewall und keine unseriöse Shareware.
Ich weiß auch, dass bei solchen Spam- Spyware-Mist fast immer der User selbst schuld ist. Ich lade nichts herunter etc.. Ich öffne keine unbekannten Mail-Anhänge, blablabla, usw usw.
Und ich brauche keine Infos drüber wie ich einen Rechner neu installiere.
Ich will wissen woher immer wieder diese Installationsaufforderung kommt.
Ich habe das letzte Mal den eSan auch im abgesicherten Modus drüber laufen lassen. Nur findet der auch nichts. Ich habe diese Dashbar ja nie installiert. . Und daher nützen mir auch die meisten Hinweise im Netz nichts wie ich sie wieder loswerde.
Ich kann ja verstehen, dass du das postet. Bei einigen Problemen von denen ich hier so lese, denke ich mir auch meinen Teil.

@ mountainking
Ich kann mir auch nicht recht vorstellen, dass diese Dashbar-Geschichte an ICQ gekoppelt ist. Wie gesagt verwende ich den ICQ schon ewig und hatte das Problem noch nie.
Ich habe keine Shareware, Filesharingprogramme oder sonstiges installiert und kann mir daher überhaput nicht erklären woher das nach der Neuinstallation schon wieder kommt.