Hallo!

Ich habe mir kürzlich die Spyware "Iwantsearch" und einen Virus eingefangen, der mir meinen Windows Media Player zerstört hat. Wenn ich auf das Symbol des WMP klicke, erscheint nur ein kleines Dialogfeld mit der Notiz "C:\\WINDOWS\SYSTEMS\vmyixpnm.exe", wobei die acht Buchstaben vor ".exe" jedesmal andere sind. Ein solches Dialogfeld erscheint auch nach dem Anschalten des Computers auf dem Desktop. Es läßt sich einfach durch "Esc" wegdrücken. AntiVir hat mir mitgeteilt, daß es vier verdächtige Dateien gefunden habe, die es aber nicht löschen könne, weil sich diese in einem Archiv befänden. Was ist das, wie werde ich diese Dialogfelder wieder los, und wie kriege ich den WMP wieder flott?
Was "Iwantsearch" angeht, habe ich es mithilfe von Adaware geschafft, daß sich meine Internet-Startseite nicht mehr von allein verstellt. Der Ordner "SBSoft" wird unter "Suchen" nicht mehr gefunden, erscheint allerdings noch unter "Systemsteuerung/Software" und läßt sich dort nicht löschen.
Kann sich jemand vielleicht mal mein Logfile von HijackThis anschauen und mir sagen, ob da noch etwas Verdächtiges ist?


Logfile of HijackThis v1.98.2
Scan saved at 01:11:32, on 27.10.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MHOTKEY.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\WINDOWS\DESKTOP\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\MSOFFICE\SERVICES.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\TEMP\TD_0001.DIR\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R3 - Default URLSearchHook is missing
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [cpl] C:\WINDOWS\msgaol.exe /i
O4 - HKLM\..\Run: [AVGCtrl] C:\WINDOWS\DESKTOP\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\SYSTEM\MSOffice\services.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ChangeAOLRunOnce] C:\Windows\System\ChangeAOLRunOnce.exe
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .au: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com


Vielen vielen Dank für eine Antwort, die bitte auch für einen "technischen Deppen" verständlich ist. ;-)

Gruß, chr

Guten Morgen, chr

arbeite bitte zuerst das Tutorial der Spybot-Forschung Punkt für Punkt durch, überprüfe den Rechner mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info, mit dem Betreff "Iwantsearch-TBOARD" und Hinweis auf diesen Thread. (Nicht im Forum posten, da zwecklos!)

===>2<===

MSIE: Internet Explorer v5.50 (5.50.4134.0600) - Du verwendest eine antike Version des IE, bitte upadaten!: www.windowsupdate.com

===>3<===

Lade (falls nötig) das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

===>4<===

Downloade das Programm SpywareBlaster 3.2 und führe es auf dem/den Rechner(n) aus. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit täglich - bevor Du ins Netz gehst - den Schutz für den/die Browser. Tägliches Updaten online nicht vergessen!

===>5<===

überprüfe mit dem online-scan von Kaspersky:

C:\WINDOWS\msgaol.exe
C:\Windows\System\ChangeAOLRunOnce.exe

Teile uns das Ergebnis der Überprüfung mit. Sende die infizierten Dateien passwortgeschützt an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck).

===>6<===

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häkchen setzen und fix checked klicken):

R3 - Default URLSearchHook is missing
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)

Beende aus C:\WINDOWS\SYSTEM\MSOFFICE\
SERVICES.EXE
Lösche
C:\WINDOWS\SYSTEM\MSOFFICE\SERVICES.EXE

Boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

===>7<===

Geh bitte auf diese Seite: eScan. Scanne damit Deinen Rechner, entsprechend der dort gegebenen Anweisung!

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht mehr automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden, siehe eScan: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!"

===>8<===

Lass uns das Ergebnis der Online-Scan-Überprüfung und des Scans mit eScan wissen. (Vergiss nicht die Daten/Spybot-Report abzusenden.) Erstelle ein neues Logfile mit Hijack This aus dem normalen Modus und poste es.

SD

Hallo SD!

Vielen Dank für Deine umfangreichen Tips.
Aber leider hat nicht alles geklappt:
1) Ich habe die fraglichen Dateinamen bei Kaspersky eingegeben und auf „Überprüfen“ geklickt, habe jedoch kein Ergebnis erhalten, so daß ich nicht herausfinden konnte, was es mit „C:\WINDOWS\msgaol.exe“ auf sich hat.
2) Es gelingt mir nicht, in den abgesicherten Modus zu kommen (habe Windows ME). Wenn ich den Computer neu starte und dabei STRG oder F8 drücke, komme ich trotzdem in den ganz normalen Modus.

Habe jetzt folgendes gemacht:
1) Mit Spybot habe ich 14 Spyware-Dateien gefunden und gelöscht.
2) Da ich nicht in den abgesicherten Modus kam, habe ich im normalen Modus mit HijackThis die drei problematischen Sachen gefixed.

Aktuelles Hijackthis-Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 23:18:47, on 28.10.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MHOTKEY.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\WINDOWS\DESKTOP\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\MSOFFICE\SERVICES.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TEMP\TD_0001.DIR\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\WINDOWS\DESKTOP\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .au: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com

3) Mit eScan habe ich 12 infizierte Dateien gefunden. Wenn ich jedoch nach Abschluß des fast dreistündigen Scan-Prozesses auf „View Log“ klicke, versucht der Computer stundenlang mit WordPad das Logfile zu erstellen, das funktioniert aber nicht. Deshalb habe ich jetzt „per Hand“ die 12 Dateien, die unter „Virus Log Information“ erscheinen, abgeschrieben. Es sind folgende:

File C:\WINDOWS\SYSTEM\etjtgspx.exe infected by “TrojanClicker.Win32.Agent.v”Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\etjtgspx.exe infected by “TrojanClicker.Win32.Agent.v”Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Desktop\AntiVir\INFECTED\MSGAOL.VIR infected by “TrojanDownloader.Win32.Delf.br”Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\rundlg32.dll tagged a not-a-virus:AdWare.Toolbar.SBSoft.f. No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\CP2R4T67\fuck[1].htm infected by “Exploit.HTML.ObjData”Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\KZM3IVMV\ied_s7m[1].chm infected by “TrojanDownloader.JS.Psyme.w”Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\WFUVSTOF\classload[1].jar infected by “Trojan.Java.ClassLoader.c”Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\UHU52R2J\ied_s7m_89[1].cab infected by “TrojanDownloader.Win32.Mediket.a”Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\CA7SU0D1\rundlg32[1].chm tagged as not-a-virus:AdWare.Toolbar.SBSoft.f. No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\SDGZT2P9\rundlg32[1].cab tagged as not-a-virus:AdWare.Toolbar.SBSoft.f. No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\YY1FB7PK\tbd1[1].htm infected by “Exploit.CodeBaseExec”Virus. Action Taken: No Action Taken.
File C:\ied_s7m.cab infected by “TrojanDownloader.Win32.Mediket.a”Virus. Action Taken: No Action Taken.

Kann ich die alle löschen?

Ich habe immer noch folgende Probleme:
1) Das Programm „SBSoft“ erscheint weiterhin unter „Systemsteuerung/Software“ und läßt sich dort nicht löschen.
2) Wenn ich den PC einschalte, erscheint weiterhin die Meldung „C:\WINDOWS\SYTEMS\vmyixpnm.exe“ bzw. andere Buchstabenkombinationen vor „.exe“. Diese Meldung erscheint auch weiterhin bei dem Versuch, den WMP zu starten, der nach wie vor nicht funktioniert.

Wie soll ich weiter vorgehen?

Vielen Dank für Deine Antwort!

Gruß, chr

hallo
Könnte mir bitte auch einer helfen
ich bekomme die Spyware Iwantsearch nicht mehr weg habe schon viel versucht
Logfile of HijackThis v1.98.2
Scan saved at 23:23:23, on 28.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
N:\Für Progamme zum instalieren\Acronis_True_Image_7.0\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
N:\Für Emule Prog\emulePhoenix0.44b_1.11_binaries.rar\emule.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\DOWLOADS aus Dem Netz\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ScriptInocUI Class - - (no file)
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\ReGetDx\iebar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [CloneCDTray] "N:\Für Progamme zum instalieren\CloneCD 5.0.3.1\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "N:\Für Progamme zum instalieren\Acronis_True_Image_7.0\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Google Search - res://c:\programme\google\googletoolbar2.dll/cmsearch.html
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\googletoolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\googletoolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\googletoolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/e...://www.ebay.de (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15007/CTSUEng.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://69.44.122.156/scanner/axscanner.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15008/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6981D643-DDF0-4159-8D1D-17A1AF56D1CE}: NameServer = 195.50.140.250 145.253.2.174

Hallo nochmal!
Hier noch ein neues Logfile.
Mir scheint, als hätte ich es geschafft, die "C:\WINDOWS\SYSTEM\MSOFFICE\SERVICES.EXE" und "C:\WINDOWS\msgaol.exe" loszuwerden.
Gruß chr


Logfile of HijackThis v1.98.2
Scan saved at 00:33:17, on 29.10.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MHOTKEY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\WINDOWS\DESKTOP\AVGCTRL.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TEMP\TD_0001.DIR\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\WINDOWS\DESKTOP\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .au: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com

@chr

Dein zweites Log schaut sauber aus.

Du solltest jedoch unbedingt www.windowsupdate.com besuchen und alle Patches und Updates installieren.

@futzi33

Fixe mit HijackThis dies:

R3 - URLSearchHook: ScriptInocUI Class - - (no file)
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/...p://www.ebay.de (file missing)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15007/CTSUEng.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://69.44.122.156/scanner/axscanner.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/act...l_v1-0-3-12.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub...ash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15008/CTPID.cab


Scanne anschl. mal hiermit im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html

Hallo!

Noch mal die Frage: Kann ich die von mir unten aufgeführten infizierten Dateien, die eScan gefunden hat, alle bedenkenlos löschen, ohne dabei evtl. auch Nützliches oder Notwendiges zu löschen?

Danke für die Antwort.
Gruß, chr

Habs mir kurz angeschaut - ja, du kannst alle gefundenen Objekte löschen.

Hallo!

Folgende Dateien konnte ich unter "Temporary Internet Files" nicht finden und deshalb auch nicht löschen:

File C:\WINDOWS\Temporary Internet Files\Content.IE5\CP2R4T67\fuck[1].htm infected by “Exploit.HTML.ObjData”Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\KZM3IVMV\ied_s7m[1].chm infected by “TrojanDownloader.JS.Psyme.w”Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\WFUVSTOF\classload[1].jar infected by “Trojan.Java.ClassLoader.c”Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\UHU52R2J\ied_s7m_89[1].cab infected by “TrojanDownloader.Win32.Mediket.a”Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\CA7SU0D1\rundlg32[1].chm tagged as not-a-virus:AdWare.Toolbar.SBSoft.f. No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\SDGZT2P9\rundlg32[1].cab tagged as not-a-virus:AdWare.Toolbar.SBSoft.f. No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\YY1FB7PK\tbd1[1].htm infected by “Exploit.CodeBaseExec”Virus. Action Taken: No Action Taken


Ich habe außerdem immer noch das Problem, daß ich meinen Media Player nicht starten kann, weil immer nur die Meldung "C:\WINDOWS\SYSTEM\etjtgspx.exe" oder andere acht Buchstaben vor "exe" erscheint. Immer, wenn ich auf das Media Player-Symbol geklickt habe, ist die vorher gelöschte Datei "C:\WINDOWS\SYSTEM\MSOFFICE\service.exe" wieder da, die ich vorher bereits gelöscht hatte.

Kann mir da noch mal irgend jemand weiterhelfen?

Danke!

Gruß, chr

Lösche deine Temp. Internet Files mit Hilfe von Clearprog: http://www.clearprog.de/programme/clearprog/index.php

Hallo nochmal!

Habe mit Clearprog nun meine Cookies und Temporary Internet Files gelöscht.

Ich habe aber immer noch das Problem, daß ich meinen Media Player nicht starten kann, weil immer nur die Meldung "C:\WINDOWS\SYSTEM\etjtgspx.exe" oder andere acht Buchstaben vor "exe" erscheint. Immer, wenn ich auf das Media Player-Symbol geklickt habe, ist die vorher gelöschte Datei "C:\WINDOWS\SYSTEM\MSOFFICE\service.exe" wieder da, die ich vorher bereits gelöscht hatte.

Kennt denn niemand dieses Problem und kann mir da noch weiterhelfen?

Läßt sich das Problem vielleicht einfach dadurch lösen, daß ich den WMP deinstalliere und mir die neueste Version dann aus dem Netz lade?

Gruß, chr

Hallo chr

beende die "etjtgspx.exe" im abgesicherten Modus und lösche die "C:\WINDOWS\SYSTEM\etjtgspx.exe".

SD

Hallo SD!

Nach etlichen vergeblichen Versuchen habe ich es endlich geschafft, in den abgesicherten Modus zu kommen (keine Ahnung, warum das vorher nicht geklappt hat, hab jedenfalls immer dasselbe gemacht). Habe dann "etjtgspx.exe" gelöscht, ebenso die Datei "C:\WINDOWS\SYSTEM\MSOFFICE\service.exe". Nach Neustart des Computers besteht das Problem aber weiterhin: Der WMP läuft nicht, es erscheint nur die Meldung "C:\WINDOWS\SYSTEM\hgffklhr.exe" oder andere acht Buchstaben vor ".exe". Wenn ich die jeweilige Datei, z.B. "hgffklhr.exe" mit der Windows-Suchfunktion suche, um sie zu löschen, wird sie nicht gefunden, sie scheint nicht zu existieren. Auch finde ich weiterhin unter "Systemeinstellungen/Software" das Programm "SBSoft", das offenbar etwas mit Spyware zu tun hat, sich aber mithilfe von "Entfernen" nicht löschen läßt.
Langsam bin ich total entnervt, da ich das Problem "Media Player" nun schon seit zwei Wochen zu beheben versuche, aber es mir einfach nicht gelingt. Auch ist es mir bereits zweimal wieder passiert, daß ich mir irgendeine dämliche Spyware eingefangen habe, die ich dann wieder beseitigen mußte, obwohl ich zwei Anti-Spyware-Programme (AdAware und SpyBot) und zwei Virenscanner (AntiVir und eScan) installiert habe. Offenbar ist es für die Spyware kein Problem, diese Sicherungen zu umgehen.

Weißt du noch anderen Rat?

Danke, chr

@chr

habe alle postings gelesen, gegoogelt, mehrere einträge gefunden, jedoch viele negative.
die bisherige ratschläge waren alle richtig, dein problem heißt SBSoft
dieses programm mußt du, egal wie, los werden.

wenn abgesichert nichts mehr geht, wenn auch CWShredder nicht mehr bringt,
versuche es mal mit dem hier
http://www.amok.am/ das programm heißt amok. ich weiß nicht ob es unter dein Betriebsystem läuft.

ansonsten fällt mir nichts mehr ein

chaosman