Hallo,

seit 2 Tagen ist mein Rechner gähnend langsam und es sind immer wieder auch bei getrenntem Internet Pop-Up´s aufgegangen mit irgendwelchen Infektionswarnungen und Downloadangeboten für Adwarescanner.

Ein Scan mit Adaware hat einige Sachen beseitigt, ein zusätzlicher Versuch mit Pestpatrol ist fehl geschlagen, es lässt sich nicht mehr starten.

Ebenso lassen Sich auch keine Registry-Scan´s mit Fix-it Utilities und Regsupreme mehr durchführen. Die testweise installierten Registry-Cleaner Registry Mechanic und Registry First Aid lassen sich erst gar nicht starten.

KAV hat noch einige Ergebnisse gebracht, verschiedene online-scan´s wie Trend-Micro leider keine weiteren.

Ich habe mal die Log von HijackThis v1.98.2 angehängt.
Ich hoffe, es kann mir jemand helfen!!!

Logfile of HijackThis v1.98.2
Scan saved at 22:14:01, on 15.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme System\Sygate Personal Firewall\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
E:\PROGRA~3\Fix-It\mxtask.exe
E:\Programme\Nero\InCD\InCD\InCDsrv.exe
E:\Programme System\Kaspersky Anti-Virus Personal Pro\kavmm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
E:\Programme System\O&O CleverCache\OOCCSVC.exe
C:\WINDOWS\System32\PGPsdkServ.exe
E:\Video\ProShowGold\ScsiAccess.exe
C:\WINDOWS\System32\SLEE401.exe
C:\WINDOWS\System32\SLEE81.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\WFXSVC.EXE
E:\PROGRA~3\Fix-It\mxtask.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\WINDOWS\System32\wfxsnt40.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\Programme\Wheel Mouse\5.3\MOUSE32A.EXE
E:\PROGRA~3\PESTPA~1\PPMemCheck.exe
E:\PROGRA~3\PESTPA~1\CookiePatrol.exe
E:\Programme System\Kaspersky Anti-Virus Personal Pro\kav.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
E:\programme Telek\Winfax\WFXCTL32.EXE
E:\programme Telek\Fritz\FriFon32.exe
E:\programme Telek\Fritz\IWatch.exe
E:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe
E:\Programme\Post_it\psn.exe
E:\PROGRA~2\Post_it\PSNGive.exe
C:\Programme\Internet Explorer\iexplore.exe
G:\Test1\SECURITY\HijackThis v1.98.2\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\PROGRA~3\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [cFosDNT] E:\programme Telek\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [WFXSwtch] E:\programme Telek\winfax\WFXSWTCH.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] C:\WINDOWS\System32\wfxsnt40.exe
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
O4 - HKLM\..\Run: [Sygate] "E:\Programme System\Sygate Personal Firewall\Smc.exe" -start
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Wheel Mouse\5.3\MOUSE32A.EXE
O4 - HKLM\..\Run: [PPMemCheck] E:\PROGRA~3\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] E:\Programme System\PestPatrol\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] E:\PROGRA~3\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [KAV50] "E:\Programme System\Kaspersky Anti-Virus Personal Pro\kav.exe" -run -n PersonalPro -v 5.0.0.0
O4 - HKCU\..\Run: [Iconoid] "C:\Programme\Iconoid\iconoid.exe" -wait 0
O4 - HKCU\..\Run: [RFAgent] E:\Programme System\RFA\rfagent.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Controller.LNK = E:\programme Telek\Winfax\WFXCTL32.EXE
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: FriFon32.exe.lnk = E:\programme Telek\Fritz\FriFon32.exe
O4 - Global Startup: ISDNWatch.lnk = E:\programme Telek\Fritz\IWatch.exe
O4 - Global Startup: Microtek Scanner Finder.lnk = E:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: Post-it® Software Notes.lnk = E:\Programme\Post_it\psn.exe
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Alles mit FlashGet laden - E:\Programme System\FlashGet\jc_all.htm
O8 - Extra context menu item: Download the &current page with Offline Explorer - file://E:\Programme System\Offline Explorer Enterprise\Add_AllO.htm
O8 - Extra context menu item: Download using Offline &Explorer - file://E:\Programme System\Offline Explorer Enterprise\Add_UrlO.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Mit FlashGet laden - E:\Programme System\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~3\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~3\FlashGet\flashget.exe
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{B69869C9-C5E5-48F8-82EA-65EF25DB8354}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E30E14C2-F6E6-4CAD-B996-17E55AB3E655}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5ADF286-6B7B-4934-A014-AE0F99704BE5}: NameServer = 217.237.150.141 217.237.150.97

@ stylus,

welche Ergebnisse hat KAV gebracht? Viren? Namen?

Überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\System32\SLEE81.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\WFXSVC.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5 a.exe
C:\WINDOWS\System32\wfxsnt40.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2 a.exe
E:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe
E:\Programme\Post_it\psn.exe
E:\PROGRA~2\Post_it\PSNGive.exe
E:\programme Telek\winfax\WFXSWTCH.exe
E:\Programme System\Sygate Personal Firewall\Smc.exe" -start
E:\programme Telek\Fritz\FriFon32.exe
E:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe

Ergebnis?

SD

Hi,

der Scan der Dateien hat nichts Neues gebracht.

Ich habe mittlerweile herausgefunden, dass die Programme im abgesicherten Modus alle laufen.

Ein Scan mit Pestpatrol, Adaware, Spybot, KAV hat nichts ergeben.
Eine Registry-Säuberung habe ich durchgeführt.

Wieder zurück im normalen Modus und die Probleme sind wieder da!!

vielleicht mal vor boot in den abgesicherten modus die systemwiederherstellung deaktivieren (arbeitsplatz, rechte maustaste, systemwiederherstellung). dann im abgesicherten modus scannen und cleanen. dann wieder neustart (normal) und die systemweiderherstellung aktivieren.

"...gähnend langsam und es sind immer wieder auch bei getrenntem Internet Pop-Up´s aufgegangen mit irgendwelchen Infektionswarnungen und Downloadangeboten für Adwarescanner.

Ein Scan mit Adaware hat einige Sachen beseitigt, ein zusätzlicher Versuch mit Pestpatrol ist fehl geschlagen, es lässt sich nicht mehr starten.

Ebenso lassen Sich auch keine Registry-Scan´s mit Fix-it Utilities und Regsupreme mehr durchführen. Die testweise installierten Registry-Cleaner Registry Mechanic und Registry First Aid lassen sich erst gar nicht starten."

------------------------------------------------

Gleiches Problem habe ich auch... bei mir ist in den "Trusted Sites" beim IE die ULR http://*63.219.181.7 eingetragen und lässt sich auch nicht entfernen, bzw. ist sofort wieder da.

eScan hat herausgefunden, dass die Datei msacmx.dll einen Virus hat...

Falls also die Lösung bereits irgendwo bekannt ist... ich wäre ein dankbarer Abnehmer...

Hallo stylus,

erstelle bitte ein neues Hijack This Logfile und poste es.

Hallo Fiffi Kronsbein,

wo kommst denn Du aufeinmal her? Könntest Du Dich bitte wieder in Deinen eigenen Thread begeben und dort ebenfalls ein neues Hijack This Logfile posten? Das wäre nett, denn dann bleiben unsere Threads ein bisschen übersichtlicher.

Danke für Dein Verständnis.

SD

An die 'O15 - Trusted Zone: h**p://*.63.219.181.7'-Geschädigten:

Lest Euch bitte einmal dieses Posting von mir und den englischen Beitrag bei Wilders durch. Ich fürchte dies dürfte bei Euch zutreffen.

Ladet Euch hier http://www.thespykiller.co.uk/files/ms4hd.zip das kleine Tool Ms4Hd_look herunter und entpackt die Zip-Datei in einen eigenem Ordner.
Anschließend startet ihr aus diesem Ordner die Datei runme.bat. Ihr erhaltet zwei Log-Dateien. 1x eine look.log und eine err.log. Postet bitte dessen Inhalt hier.

Die weiteren bei Wilders beschriebenen Punkte solltet ihr erst nach einer Auswertung der Logfiles machen, bzw. wenn ihr genau wisst, was ihr macht!

Hallo 1
Ich habe das gleiche Problem.Aber nix hilft. Die Seite bei Wilders ist leider Englisch und da ich der englischen Sprache nicht so sehr mächtig bin, möchte ich auch nichts falsches machen.

Das ist die MH4_LOOK

An Ms4Hd_look by IMM (v0.003)
Version Info: 5.1000 = Windows XP Pro (Build 2600)
The volume containing the system directory is C: (NTFS)

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd
Error: Unable to open key (Return Code was 2)

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\Files
Error: Unable to open key (Return Code was 2)

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes
Error: Unable to open key (Return Code was 2)

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys
Error: Unable to open key (Return Code was 2)

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues
Error: Unable to open key (Return Code was 2)

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
(1 subkey(s) and 15 values) last modified 12:11 3/12/2004 (UTC)
[clfmon.exe] "clfmon.exe" (SZ)
[Zone Labs Client] "C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe" (SZ)
[WinDVR SchSvr] ""C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"" (SZ)
[WinampAgent] "C:\Programme\Winamp\winampa.exe" (SZ)
[Ulead AutoDetector v2] "C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" (SZ)
[TkBellExe] ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" (SZ)
[nwiz] "nwiz.exe /install" (SZ)
[NvMediaCenter] "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" (SZ)
[NvCplDaemon] "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" (SZ)
[NeroCheck] "C:\WINDOWS\system32\NeroCheck.exe" (SZ)
[mwavscan] ""C:\DOKUME~1\ALLE\LOKALE~1\Temp\mwavscan.com" /s" (SZ)
[KernelFaultCheck] "%systemroot%\system32\dumprep 0 -k" (SZ)
[Cmaudio] "RunDll32 cmicnfg.cpl,CMICtrlWnd" (SZ)
[AVG7_CC] "C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP" (SZ)
[SunJavaUpdateSched] "C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe"

und das die ERR

NtQuerySystemInformation (Entry at 8525B0) restored to 77F6EE83
NtEnumerateValueKey (Entry at 852430) restored to 77F6E843
NtEnumerateKey (Entry at 8522C0) restored to 77F6E823
NtQueryDirectoryFile (Entry at 852630) restored to 77F6ECC3
LdrLoadDll (Entry at 852180) restored to 77F469D2
NtResumeThread (Entry at 852090) restored to 77F6F093

Damit kann ich aber nichts anfangen

Das Ding ist echt zum verzweifeln.

Gruß schnucki100

Hallo Schnucki,
in der Tat, dieses 'Teil' ist ziemlich mies:

Mach bitte als erstes einen Scan mit HijackThis -> http://www.trojaner-board.de/51130-a...ijackthis.html und poste die komplette Log-Datei.

Logfile of HijackThis v1.98.2
Scan saved at 11:44:25, on 05.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\INCRED~1\bin\IMOLApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\sfcver.exe
C:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\System32\getdns.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Opera\opera.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\ALLE\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecust.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\ALLE\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\RunOnce: [SpyBotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [SpySweeper] C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IMOL] C:\PROGRA~1\INCRED~1\bin\IMOLApp.exe /c
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} -
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} -
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} -
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

Das ist der Aktuelle Scan,im moment ist die http://*.63.219.181.7
mal wieder nicht ,drin kann sich aber nur um mind. einen Neustart handeln ,dann ist das Ding auch wieder da.

Hallo,

lade Dir das Tool Killbox herunter -> http://download.broadbandmedic.com/KillBox.exe (dirketer DownloadLink)
Anschließend eScan (s. Signatur)

Starte den Rechner anschließend im abgesicherten Modus und lösche mit Killbox (Kurzanleitung hier -> http://www.trojaner-board.com/showpo...86&postcount=9 ) und lösche auf dem beschriebenen Weg die folgenden Dateien:

Zitat:

C:\WINDOWS\System32\clfmon.exe
C:\WINDOWS\System32\sfcver.exe
C:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\System32\getdns.exe

Den nächsten Neustart wieder im abgesicherten Modus und eScan ausführen. (wie im Link in meiner Signatur beschrieben). Ein Komplettscan dauert normalerweise mind. 1 Stunde.
Anschließend im normalen Modus booten und posten, was von eScan gefunden wurde zusätzlich ein dann aktuelles Log von HijackThis

Hallo !
So die dateien hab ich gelöscht, waren allerdings nicht in systhem32 sondern in C:\WINDOWS\Prefetch.
Der escan im abgesicherten Modus hat nichts gefunden.

Die aktuelle Hijacklog

Logfile of HijackThis v1.98.2
Scan saved at 14:49:26, on 05.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\INCRED~1\bin\IMOLApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\INCRED~1\bin\ImNotfy.exe
C:\Dokumente und Einstellungen\ALLE\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecust.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\ALLE\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [SpySweeper] C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IMOL] C:\PROGRA~1\INCRED~1\bin\IMOLApp.exe /c
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} -
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} -
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab



nu ist der
O15 wieder da

Hallo,

versuchen wir es noch einmal mit einem anderen Tool!
Lade rem.zip herunter http://forums.skads.org/index.php?showtopic=80 (dort im 1. Posting von Baskar unter Attached File(s)!).
Entpacke es im Verzeichnis C:\WINDOWS\System32\ (es ist wichtig, dass es in diesem Verzeichnis ist!) und starte den Rechner im abgesicherten Modus.
Anschließend starte die Datei rem.bat. Starte den Rechner anschließend im normalen Modus neu.
Es sollte jetzt direkt unter C:\ eine Datei namens log.txt zu finden sein. Poste bitte den Inhalt hier.
Außerdem brauchen wir dann das aktuelle Log von HijackThis.

zusätzlich zur log.txt gibt es unter C:\ die Dateien bad.reg und bad.zip. Bitte diese Dateien zunächst nicht 'anpacken'.


Viel Erfolg!

Danke an raman für den Tipp!
Ohne ihn wäre ich an dieser Stelle ziemlich aufgeschmissen!


<Edit> Ich habe den Link geändert, da nur an der jetzigen Fundstelle gewährleistet ist, dass immer die aktuelle Version von rem.zip heruntergeladen wird. Die gestern bei mir geparkte Version steht ab sofort nicht mehr zur Verfügung! </Edit>

Hallo mal wieder!
Hier der log.txt:

Microsoft Windows XP [Version 5.1.2600]
C:\WINDOWS\system32
"Files found"
---------------------------------------------------------------------

Zipping files............
---------------------------------------------------------

deleting files........
---------------------------------------------------------

"Files Not Deleted"
---------------------------------------------------------------------

Checking for version 2 files..........
Files Found
------------------------------------------------------------

Zipping files............
---------------------------------------------------------

deleting files........
---------------------------------------------------------

Files Not deleted
------------------------------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd]

-----------------------------------------------------------------

Done


Und der neue HIJ

Logfile of HijackThis v1.98.2
Scan saved at 11:32:45, on 06.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\Executive Software\DiskeeperLite\DKService.exe
C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\INCRED~1\bin\IMOLApp.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\sfcver.exe
C:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\System32\getdns.exe
C:\Dokumente und Einstellungen\ALLE\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecust.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\ALLE\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [SpySweeper] C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IMOL] C:\PROGRA~1\INCRED~1\bin\IMOLApp.exe /c
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O15 - Trusted Zone: http://*.63.219.181.7
O15 - Trusted Zone: http://*.search-soft.net
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} -
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} -
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab



Es ist doch echt zum verzweifeln!

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Datt seh ich ja jetzt erst.
Du solltest Dein System dringenst mal aktualisieren (www.windowsupdate.com). Wobei ich im Moment zu einer Neuinstallaton tendiere, bei dem Zeitaufwand, den Du bisher erfolglos betrieben hast....

'Irgendwie' verhält sich der Rechner absolut nicht wie er soll. Das kann an dem 'Uralt-Patch-Stand' liegen, ich weiß es allerdings nicht genau.


Ich sehe doch, dass die schädlichen und imho vernatwortlichen Prozesse vorhanden sind:

Zitat:

C:\WINDOWS\System32\sfcver.exe
C:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\System32\getdns.exe

Hast Du eScan wirklich wie beschrieben (Signatur) eingesetzt??
Diese Zeile deutet nicht darauf hin:

Zitat:

O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\ALLE\LOKALE~1\Temp\mwavscan.com" /s

Es kann nicht sein, dass ein aktuelles eScan nichts bei Dir findet...