Hallo,
auf meinem PC ging ein kleines Fenster auf mit dem Kontext: "Windows error service" und der Aussage, angeblich Spyware auf dem PC entdeckt zu haben und ich sollte removal-tools herunterladen. Ohne Zutun öffnete sich der IE und wollte Verbindung zu dieser Download-Site suchen.
Nach etwas googlen zu dem Thema bin ich auf folgendes gestoßen:

Mehrere Dateien hatten sich installiert:

C/windows: services.exe
C/windows/system32: bhue.exe + arpa.exe
C/windows/system32/drivers: csrss.exe
" /inetsrv: services.exe
" /wbem : svchost.exe

dazu folgende Registry-Einträge unter:

HKLM /Software/Microsoft/windows/current version/run:

AdRotator.Application, SuperBar.Comonent, {357AA41A....}

Das alles gelöscht und es war Ruhe. Was ich noch fand war etwas wie "soht.exe" in den Anwendungsdaten oder "purityscan.exe", die in C/windows "cleaner.exe" eintrug.

Auf alle Fälle hab ich alles gelöscht, adaware, Spybot, pestpatrol, antivir haben nichts weiter gefunden, hijack log hab ich per website auswerten lassen, auch ok.

ABER: Sobald ich versuche, den editor zu öffnen oder einfach auf eine txt.datei oder log. datei klicke, installieren sich sämtliche oben angeführte Dateien und Registryeinträge erneut! Doppelklick und ich hab den Salat, öffnen mit Wordpad funktioniert.
Das gleiche passierte, als ich den hijack-scan als log speicherte! Logdatei wurde gespeichert und diese Dateien installierten sich.

Ebenso installieren sich die Dateien, wenn ich in den Systemeigenschaften die Startoptionen manuell bearbeiten will.
Also muß irgendwo noch etwas stecken, was ich nicht gefunden habe. Wäre schön, wenn hier jemand Tips dazu hätte.

Was auch noch ist - obwohl ich nicht weiß, ob das irgendwie zusammenhängt - die Desktopicons sehen komisch aus, als ob die Grafikkarte einen Fehler hätte, lt. System ist aber alles i.O
Gruß
M.

Hallo Mister X,

da wir bedauerlicherweise aus der Ferne nicht in Dein System schauen können, bleibt uns nur die Möglichkeit, Dich zu bitten ein Hijack This Logfile zu erstellen und zu posten: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

Hallo Shadowdance, danke für die Antwort. Hast du mein Posting vielleicht nicht ganz gelesen? Ich hab doch geschrieben, dass ich den hijack-log online überprüft habe, wurde alles für gut befunden.
Gut, hier der "saubere" log:

Logfile of HijackThis v1.97.7
Scan saved at 17:46:25, on 15.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRAMME\AntiVir\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
D:\PROGRAMME\AntiVir\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
d:\PROGRA~1\Clipinc\Server\ClipInc-Server.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
D:\PROGRAMME\AntiVir\AVGNT.EXE
C:\WINDOWS\DitExp.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Hijack\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\PROGRAMME\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [YAW starten] "d:\programme\yaw 3.5\fast.exe"
O4 - Startup: FRITZ!dsl.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Global Startup: Quicken 2005 Zahlungserinnerung.lnk = C:\Programme\Quicken2005\billmind.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.co...657.0299189815
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78D} (DoomCln Object) - http://www.microsoft.com/security/controls/DoomCln.CAB
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite...ITDetector.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C26AB62-2BEF-4ABD-9F08-3C45849B1B8B}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F9A116A-439A-4935-968B-6BBD1B5609FD}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C26AB62-2BEF-4ABD-9F08-3C45849B1B8B}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{0C26AB62-2BEF-4ABD-9F08-3C45849B1B8B}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS3\Services\Tcpip\..\{0C26AB62-2BEF-4ABD-9F08-3C45849B1B8B}: NameServer = 192.168.122.252,192.168.122.253


so, beim speichern haben sich wieder diese genannten Dateien und Registryeinträge installiert, DANACH stehen folgende Pfade zusätzlich im log:

O4 - HKLM\..\Run: [SuperBar.Component] C:\WINDOWS\system32\inetsrv\services.exe
O4 - HKLM\..\Run: [AdRotator.Application] C:\WINDOWS\system32\drivers\csrss.exe
O4 - HKLM\..\Run: [{357AA41A-B7A8-4632-A27D-5B980B25CF43}] C:\WINDOWS\system32\wbem\svchost.exe
O15 - Trusted Zone: http://*.flingstone.com
O15 - Trusted Zone: http://*.mt-download.com
O15 - Trusted Zone: http://*.xxxtoolbar.com

die sind natürlich "böse" und entfernt (s. erstes Posting!!). Nochmals: Sobald ich dann eine log- oder txt-Datei mit dem Editor bzw. Notepad öffnen will oder die Starteinstellungen in der Systemsteuerung ändern usw. installieren sich die Dateien und Einträge erneut!!

Irgendetwas muß also noch da sein, dass diese Sache steuert. Wäre toll, wenn da einer eine Lösung wüßte...
Grúß
Mister X

Hallo Mister X,

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com

Logfile of HijackThis v1.97.7 ist eine veraltete Version. Die neue Version von Hijack This bekommst Du hier: http://www.trojaner-board.de/51130-a...ijackthis.html.

Hast Du die Einträge, die Du fixen bzw. löschen wolltest, im abgesicherten Modus, bei deaktivierter Systemwiederherstellung versucht zu löschen?

Erstelle bitte ein Hijack This Logfile mit der aktuellen Version von Hijack This.

SD

Hallo Shadowdance,

SP2 für XP hab ich bewußt noch nicht aufgespielt, ich wollte erst ein sauberes System haben. Trotz der jetzt schon bekannten bugs mag das künftig die Sicherheit verbessern, für mein aktuelles Problem wird es mir aber nichts helfen.

Sorry für die veraltete hijack-logdatei. Natürlich habe ich die aktuelle Version, nur die falsche reinkopiert. Unten die neueste "saubere" logdatei, die aber genau das gleiche anzeigt wie die alte.

Ich habe folgendes gemacht: Systemwiederherstellung deaktiviert, im abgesicherten Modus antivir und adaware durchlaufen lassen sowie die vorher geposteten Einträge per hijack gefixt. PC ausgeschaltet, wieder im abgesicherten Modus gestartet, nochmal das gleiche, es wurde nichts mehr gefunden, die folgende logdatei wurde gescannt - auch sauber:

Logfile of HijackThis v1.98.2
Scan saved at 15:15:58, on 17.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Hijack\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKCU\..\Run: [YAW starten] "d:\programme\yaw 3.5\fast.exe"
O4 - Startup: FRITZ!dsl.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Global Startup: Quicken 2005 Zahlungserinnerung.lnk = C:\Programme\Quicken2005\billmind.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite...ITDetector.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C26AB62-2BEF-4ABD-9F08-3C45849B1B8B}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F9A116A-439A-4935-968B-6BBD1B5609FD}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C26AB62-2BEF-4ABD-9F08-3C45849B1B8B}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{0C26AB62-2BEF-4ABD-9F08-3C45849B1B8B}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS3\Services\Tcpip\..\{0C26AB62-2BEF-4ABD-9F08-3C45849B1B8B}: NameServer = 192.168.122.252,192.168.122.253

ABER: als ich im abgesicherten Modus die logdatei speicherte das gleiche Spiel wie schon immer: Sämtliche Dateien und Registryeinträge wie vorher aufgeführt haben sich wieder installiert, der hijack-scan DANACH hatte WIEDER die im letzten Posting aufgeführten Einträge gefunden.
Das fixen im abgesicherten Modus bei deaktivierter Systemwiederherstellung führte also leider zum gleichen Ergebnis

Wo kann da etwas stecken, dass das immer wieder aktiviert? Wie gesagt, txt- oder log-Datei öffnen mit Editor bzw. Notepad führt zu diesem Ergebnis...
Gruß
Mister X

@ Mister X

Dein Logfile sieht in der Tat sauber aus, aber das muss nichts heissen. Mach bitte den eScan, entsprechend der detaillierten Anleitung im Link. Der aktuelle eScan entfernt keine Malware, das wird von Hand gemacht. Wir möchten wissen, welche Viren auf Deinem System gefunden werden. Das kannst Du uns folgendermaßen mitteilen: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD

Hi Shadow,
ich denke, die Sache hat sich erledigt. Da irgendwie ja notepad beteiligt schien hab ich mal nach allen Dateien auf dem Rechner mit dem Namen gesucht und hab zwei "notepad" in /system gefunden, online gecheckt mit http://www.kaspersky.com/de/scanforvirus und schon hatte ich die Lösung:

notepad.exe Infiziert: TrojanDropper.Win32.Mudrop.h

Gelöscht und System überprüft, alles sauber.
Die Frage ist nur, warum antivir den nicht gefunden hat...

Grade als ich mir das überlegt hatte bekam ich den gleichen Tip noch aus nem anderen Forum, zwei Leut, ein Gedanke.

Falls du noch Anmerkungen hast nur zu.
Gruß
M.