Firefox lädt immer neue Werbeseiten
 

Hallo,

habe genau die gleichen Probleme mit Firefox, wie schon von anderen hier erwähnt.
Bisher gab es nie Probleme, doch seit einigen Tagen werden immer ohne mein Zutun Werbeseiten für Quelle, Neckermann, Vodafone usw. geöffnet.
Leider bin ich mit den Tiefen meines PCs nicht so vertraut. D.h. ich kann kein HJ-Log editieren, weil ich nicht weiß, was das ist!:(

Ich arbeite mit Windows XP, falls diese Info wichtig ist.

Kann mir jemand erklären, was ich machen muß, sozusagen eine Erklärung für "Doofe"???

Das wäre ganz lieb!:singsing:

LG
Vunana

Hallo!

Arbeite bitte folgende Punkte ab:

1. Systemwiderherstellung abschalten unter Systemsteuerung/System/
2. Lade dir Spybot S&D runter und installire es: http:
//www.spybot.de
3. Scanne dein System und und poste das Scanergebnis hir.
4. lade dir Malwarebytes runter und installire: Malwarebytes.org
5. Scanne dein System und und poste das Scanergebnis hir.
6. Warte auf Antwort

Hallo und Danke für die schnelle Antwort!
Ich weiß nicht so genau, wie ich die gescannten Ergebnisse hier posten kann.
Hab sie mal als Screenshot in Word abgespeichert. Ist aber wahrscheinlich nicht richtig so, oder?
Danke
Vunana

Okay, einen Teil kann ich hier schon mal posten, der Rest folgt morgen.

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1503
Windows 5.1.2600 Service Pack 3

15.12.2008 22:52:03
mbam-log-2008-12-15 (22-51-57).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 55024
Laufzeit: 4 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 4
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\WebMediaPlayer (Rogue.WebMediaPlayer) -> No action taken.
C:\Programme\WebMediaPlayer\resources (Rogue.WebMediaPlayer) -> No action taken.
C:\Programme\WebMediaPlayer\skins (Rogue.WebMediaPlayer) -> No action taken.
C:\Programme\WebMediaPlayer\updates (Rogue.WebMediaPlayer) -> No action taken.

Infizierte Dateien:
C:\Programme\WebMediaPlayer\sqlite3.dll (Rogue.WebMediaPlayer) -> No action taken.
C:\Programme\WebMediaPlayer\WebMediaPlayer.exe (Rogue.WebMediaPlayer) -> No action taken.
C:\Programme\WebMediaPlayer\resources\wmp_translation_file.xml (Rogue.WebMediaPlayer) -> No action taken.
C:\Programme\WebMediaPlayer\skins\classic.skn (Rogue.WebMediaPlayer) -> No action taken.

Sorry, aber jetzt habe ich es doch geschafft.
Hier also der zweite Scan:

--- Report generated: 2008-12-15 23:05 ---

Advertising.com: Verfolgender Cookie (Internet Explorer: Lang) (Cookie, nothing done)

Avenue A, Inc.: Verfolgender Cookie (Internet Explorer: Lang) (Cookie, nothing done)

DoubleClick: Verfolgender Cookie (Internet Explorer: Lang) (Cookie, nothing done)

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1482476501-776561741-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

MagicControl.Agent: Benutzer-Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1482476501-776561741-725345543-1004\Software\LanConfig


--- Spybot - Search && Destroy version: 1.3 ---
2004-05-12 Includes\Cookies.sbi
2004-05-12 Includes\Dialer.sbi
2004-05-12 Includes\Hijackers.sbi
2004-05-12 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-05-12 Includes\Malware.sbi
2004-05-12 Includes\Revision.sbi
2004-05-12 Includes\Security.sbi
2004-05-12 Includes\Spybots.sbi
2004-05-12 Includes\Tracks.uti
2004-05-12 Includes\Trojans.sbi


Bin gespannt auf Eure Antwort!

LG
Vunana

Hallo,

ich weiß leider nicht so genau, ob ich die richtigen Dinge hier gepostet habe, da ich mich nicht so gut auskenne. Soll ich noch andere Sachen scannen bzw. durchlaufen lassen und die Ergebnisse hier posten?

Vielen Dank für Eure Hilfe!
Vunana

Hallo @TR-Vundo: Sry das ich mich hier einmische, da du aber bisher noch nicht gepostest hast schreib ich einfach mal was :P
@Vunana: Ich bin keiner der Profis, seit meinem letzten Virus hab ich mich allerdings ein wenig mehr damit beschäftigt^^

Also 1. Wie man schon an dem Titel des Forums sehen kann:
"Hijacker / HiJackThis Logs posten" - Mach das doch erstmal :)
Anleitung: http://www.trojaner-board.de/51130-a...ijackthis.html

2. Beide Scans haben das löschen nicht durchgeführt. Bei dem Spybot weiß ich nicht wies geht, bei Malwarebytes Anti Maleware, lies bitte ein wenig gründlicher die Anleitung:

http://www.trojaner-board.de/51187-a...i-malware.html

Dort steht drin wie man die gefundenen Einträge löschen kann, danach wird noch eine Logfile erstellt, diese dann bitte posten.

(Bei den Log-Datein bitte auf die Formatierung achten: http://www.trojaner-board.de/22770-a...log-files.html )

edit: Anleitungen zurückgezogen. Zu viele Köche verderben den Brei.

Danke für die schnelle Antwort.
Hier also als ersten richtigen Schritt der Bericht von Anti-Malware. Ich hoffe, daß es diesmal richtig so ist!

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1513
Windows 5.1.2600 Service Pack 3
18.12.2008 15:43:00
mbam-log-2008-12-18 (15-43-00).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 128200
Laufzeit: 44 minute(s), 36 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 4
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
C:\Programme\WebMediaPlayer (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\resources (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\skins (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\updates (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\WebMediaPlayer\sqlite3.dll (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\WebMediaPlayer.exe (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\resources\wmp_translation_file.xml (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\skins\classic.skn (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.

Sieht das jetzt schon besser aus?

LG
Vunana

Joa scheint als wäre alles was er gefunden hat runter. Könntest du noch eine Log mit HiJackThis erstellen?

http://www.trojaner-board.de/51130-a...ijackthis.html
http://www.trojaner-board.de/22770-a...log-files.html


Edit: Für den Spyware S&D: http://www.safer-networking.org/de/tutorial/index.html Dort ist noch eine Anleitung

Hallo Mainclain,

hier also noch eine Log HiJackThis. Haber noch nichts gelöscht oder so, sondern nur das Ergebnis kopiert für Euch:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:42:12, on 18.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\T-Com\T-DSLS~1\SMARTB~1\Smartbridge.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\COMODO\Firewall\cfp.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TomTom HOME 2\HOMERunner.exe
C:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\qbewzdg.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\T-Com\T-DSL Support Center\bin\TDSLSupportCenter.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\T-Com\T-DSL Support Center\bin\mpbtn.exe
C:\PROGRA~1\Motive\ASSTCO~1\MOTIVE~1.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***p://mystart.incredimail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h***p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h***p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h***p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h***p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\T-Com\T-DSLS~1\SMARTB~1\Smartbridge.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKCU\..\Run: [NBJ] "C:\PROGRA~1\Ahead\NEROBA~1\NBJ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [qbewzdg] "c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\qbewzdg.exe" qbewzdg
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: T-DSL Support Center.lnk = C:\Programme\T-Com\T-DSL Support Center\bin\matcli.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Post Image to Blog - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5003
O8 - Extra context menu item: Tag This Image - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5002
O8 - Extra context menu item: Upload All Images to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5000
O8 - Extra context menu item: Upload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5001
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {1E5BE467-472C-44A8-ABE9-DAF0BF5F7548} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {1E5BE467-472C-44A8-ABE9-DAF0BF5F7548} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O15 - Trusted Zone: http://toolbar.imageshack.us
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h***p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - h***p://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - h***p://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h***s://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs:
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\Firewall\cmdagent.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

--
End of file - 10289 bytes

Sorry, aber leider habe ich das mit den Code Tags nicht verstanden. Ich hoffe, Ihr könnt dennoch was damit anfangen und habt nicht allzu viel Arbeit!

Nochmals vielen tausend Dank!

Vunana

@Dilias 88: Bitte eröffne doch dein eigenen Thread dafür ;) // Okay sry wurde ja schon geändert^^




Huhu
Also 1. Wegen den Code-Tags:
Du hättest einfach [*Code]DeinLog[/*Code]
schreiben müssen, dadurch hätte das Forum deine Log in eine Box geschrieben – Aber das macht ja nichts (die sterne müssten natürlich weg, die hab ich nur gemacht, damit er das nicht gleich umwandelt^^)

und nun deine Log:
1. Schmeiß dein Java runter und downloade dir die neue Java-Version. Alte Versionen sind immer ein Sicherheitsrisiko.

2. Kennst du die Datei:
C:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\qbewzdg.exe
-> Lad die datei bitte bei www.virustotal.com hoch und schreibe das komplette ergebnis

und diese hier (die scheint aber ungefährlich zu sein…)
C:\Programme\T-Com\T-DSL Support Center\bin\TDSLSupportCenter.exe



3. Diese Einträge in HiJackThis mackieren und Fixen: (Wenn du einen dieser einträge kennst, brauchst du das nicht)
Nun kommen wir zum löschen der oben genannten datei:

Hallo Mainclain,

danke für die vielen Tips.
Ich habe also erfolgreich das neue JAVA installiert und das Ergebnis der komischen Datei bei den Anwendungsdaten kommt hier. Aber ich weiß nicht, ob ich das alles hier ´reinkopieren soll. Mache es einfach mal. Der dritte Schritt folgt dann morgen.

Also:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.19.3 2008.12.19 -
AntiVir 7.9.0.45 2008.12.19 -
Authentium 5.1.0.4 2008.12.20 -
Avast 4.8.1281.0 2008.12.19 -
AVG 8.0.0.199 2008.12.19 -
BitDefender 7.2 2008.12.20 -
CAT-QuickHeal 10.00 2008.12.20 -
ClamAV 0.94.1 2008.12.20 -
Comodo 781 2008.12.19 -
DrWeb 4.44.0.09170 2008.12.20 -
eSafe 7.0.17.0 2008.12.18 -
eTrust-Vet 31.6.6269 2008.12.19 -
Ewido 4.0 2008.12.20 -
F-Prot 4.4.4.56 2008.12.19 -
Fortinet 3.117.0.0 2008.12.20 -
GData 19 2008.12.20 -
Ikarus T3.1.1.45.0 2008.12.20 -
K7AntiVirus 7.10.559 2008.12.19 -
Kaspersky 7.0.0.125 2008.12.20 -
McAfee 5469 2008.12.19 -
McAfee+Artemis 5469 2008.12.19 -
Microsoft 1.4205 2008.12.20 Trojan:Win32/Skintrim.gen!D
NOD32 3708 2008.12.20 -
Norman 5.80.02 2008.12.19 -
Panda 9.0.0.4 2008.12.20 -
PCTools 4.4.2.0 2008.12.19 -
Prevx1 V2 2008.12.20 Adware
Rising 21.08.52.00 2008.12.20 -
SecureWeb-Gateway 6.7.6 2008.12.19 Trojan.LooksLike.Dropper
Sophos 4.37.0 2008.12.20 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.20 -
TheHacker 6.3.1.4.193 2008.12.19 -
TrendMicro 8.700.0.1004 2008.12.19 -
VBA32 3.12.8.10 2008.12.20 -
ViRobot 2008.12.20.1528 2008.12.20 -
VirusBuster 4.5.11.0 2008.12.19 -
weitere Informationen
File size: 262144 bytes
MD5...: 9c0e8c151a35f9eef34599d7ce6590e0
SHA1..: 0df3ef27bc1e6160c709a58be42f7ca367869ce2
SHA256: 842f550987961573ccc622f9887043fdb5b24802047649930f331adf55263ea8
SHA512: 281b95e85c67b1fd8edb3f4d8cb368b4bed3ff15d39c28cd903dd247c1bf2be7
126380b7c8b197ad5835d90efb14e857ae81fe14c9deb96c8b3e8d996bdeb8ef
ssdeep: 6144:El1Wv7QRVQOaR5uNGw9Lrl5pwYuWvFHoHn5hr7Y3H378R:FT+QOMuhLr+Yu
Wv0r7A7
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x43bc52
timedatestamp.....: 0x47d58ff0 (Mon Mar 10 19:45:52 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3adec 0x3b000 7.42 1ce5e7275c431185ef74cf878c2f164d
.rdata 0x3c000 0x11c8 0x2000 3.70 1a5f4b40998ee113e434e9e080c457b0
.data 0x3e000 0x15cc 0x2000 4.35 28ec506b9aacd9ce3cf40712eb0bfea5

( 10 imports )
> ole32.dll: CoDisconnectObject, StgSetTimes, OleConvertIStorageToOLESTREAM
> KERNEL32.dll: GetBinaryTypeW, GetFileInformationByHandle, SetCurrentDirectoryA, lstrcpynA, lstrcatW, GetLocaleInfoW, GetStartupInfoA, EnumDateFormatsW, GetSystemDefaultLangID, SetThreadLocale, ExpandEnvironmentStringsW, GetDateFormatA, lstrcmpiA, GetBinaryTypeA, InitializeCriticalSection, GetComputerNameW, SetNamedPipeHandleState, ScrollConsoleScreenBufferA, lstrcpyA, WriteConsoleOutputW, CreateMutexA, GetEnvironmentStringsW, GetTapeParameters, CancelIo, SetHandleCount, VirtualAlloc, GetModuleHandleA, OpenMutexA
> OLEAUT32.dll: -, -, -, -, -, -, -
> GDI32.dll: FillPath, GetCurrentPositionEx, GetCurrentObject
> USER32.dll: IsCharAlphaNumericW, SetClipboardViewer, CharNextExA, CreateDialogIndirectParamA, SetWinEventHook, SystemParametersInfoA, LoadImageA, WinHelpA, RegisterClipboardFormatA, SetClassLongA, CreateCaret, GetCursor, DrawIcon, SetClipboardData, SetWindowLongA, SendMessageCallbackW, DrawAnimatedRects, CopyImage, TrackPopupMenuEx, LoadStringW, EnumChildWindows, OpenWindowStationA, EnumWindowStationsA, DefWindowProcA, SendDlgItemMessageW, ShowWindow, DialogBoxParamA, SetThreadDesktop, GetMessageW, GetClassNameW, TabbedTextOutW, OpenClipboard, SendMessageTimeoutA, SetCapture, ValidateRgn, LoadAcceleratorsA, TrackMouseEvent, IsCharAlphaNumericA, MessageBeep, CreateWindowExA, GetSystemMenu, InvertRect, GetCapture, PostThreadMessageA
> COMCTL32.dll: ImageList_EndDrag, CreatePropertySheetPageW
> VERSION.dll: VerQueryValueA, GetFileVersionInfoSizeA, VerInstallFileA
> ADVAPI32.dll: LookupAccountSidW, QueryServiceStatus, CreateProcessAsUserW, GetSecurityDescriptorControl, CryptAcquireContextW, LogonUserA, GetNamedSecurityInfoA, RegGetKeySecurity, LookupAccountNameA, BuildTrusteeWithSidW, CryptGetHashParam, RegConnectRegistryA, RegQueryValueW, RegQueryValueA, RegOpenKeyA, OpenSCManagerA, CryptImportKey, InitiateSystemShutdownW, GetSecurityDescriptorDacl, GetServiceKeyNameW, CryptSetKeyParam, LookupAccountSidA, CryptGenRandom, GetFileSecurityW, GetFileSecurityA, CloseEventLog, SetThreadToken, NotifyBootConfigStatus, IsValidAcl, ReadEventLogW, BuildSecurityDescriptorW, RegCreateKeyW, CreatePrivateObjectSecurity, CopySid, EnumDependentServicesA, QueryServiceLockStatusW, StartServiceCtrlDispatcherW, GetPrivateObjectSecurity, OpenThreadToken, LookupPrivilegeDisplayNameA
> SHELL32.dll: SHGetDesktopFolder, SHFileOperationA
> MSVCRT.dll: atoi, _mbschr, strerror, isupper, _wcsupr, __p__fmode, isprint, _wfullpath, _beginthread, toupper, _finite, _wcsnicmp, _mbsnbcat, _strcmpi, _controlfp, _except_handler3, __set_app_type, _mkdir, _exit, _XcptFilter, exit, _acmdln, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, _getdrive

( 0 exports )
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=B51E07D2000716F400A1042C5A1E50002DBBAF41' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=B51E07D2000716F400A1042C5A1E50002DBBAF41</a>

Und hier noch gleich das von T-DSL:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
FileAdvisor - - -
Fortinet - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - BlockReason.0
weitere Informationen
MD5: 9b2332826bf6e20a85b5544c48929e3d
SHA1: a4b4047ccbf651e135500be1fd2b0265fc575f21
SHA256: 8acb8aa082735ea0a95460eebfbf362dffc0d99f81a3a7dc4f438b40a9694f21
SHA512: f180c27fbed2e5a061580966cf9af4ee28e179c5a2223fb7f9cc14fd59c563ca87dbbf306c6f075539d362c8395859eab962d75e018c4dc2603118e8b9b9e7d3

Für mich liest sich das alles höchst seltsam, aber Ihr könnt ja damit viel anfangen. BIn gespannt auf das Ergebnis!

Vielen Dank für Eure Hilfe!

Vunana

Beim 1. wurde was gefunden - Also bitte wie oben beschrieben mit Avanger löschen.
Danach kannst du ja nochmal eine HiJackThis Log posten.

Guten Morgen,

habe alles wie beschrieben gemacht. Beim HijackThis war allerdings diese komische Datei nicht mehr dabei. Wieso nicht? Aber wie dem auch sei, hier der Bericht von Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: file "c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\qbewzdg.exe" not found!
Deletion of file "c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\qbewzdg.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.

Ich weiß nicht, ob das Problem wirklich gelöst ist, denn eben tauchte wieder ein Werbefenster auf.

Was mache ich jetzt am besten?

Danke und einen schönen Sonntag von
Vunana

hmm nochmal von vorne anfangen? xD HiJackThis Log posten und vll nochmal Maleware anti maleware drüber laufen lassen, ansonsten gibts noch bissel agressivere möglichkeiten^^.

Poste aber bitte erstmal die neue HiJackThis log.

Okay, dann also noch einmal. Habe das Anti-Malware auch nochmal laufen lassen, hat aber nichts ergeben.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:15:33, on 21.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\COMODO\Firewall\cmdagent.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\T-Com\T-DSLS~1\SMARTB~1\Smartbridge.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\COMODO\Firewall\cfp.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\TomTom HOME 2\HOMERunner.exe
C:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\eywiw.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\T-Com\T-DSL Support Center\bin\TDSLSupportCenter.exe
C:\Programme\T-Com\T-DSL Support Center\bin\mpbtn.exe
C:\PROGRA~1\Motive\ASSTCO~1\MOTIVE~1.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\T-Com\T-DSLS~1\SMARTB~1\Smartbridge.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [NBJ] "C:\PROGRA~1\Ahead\NEROBA~1\NBJ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [eywiw] "c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\eywiw.exe" eywiw
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: T-DSL Support Center.lnk = C:\Programme\T-Com\T-DSL Support Center\bin\matcli.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Post Image to Blog - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5003
O8 - Extra context menu item: Tag This Image - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5002
O8 - Extra context menu item: Upload All Images to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5000
O8 - Extra context menu item: Upload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5001
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {1E5BE467-472C-44A8-ABE9-DAF0BF5F7548} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {1E5BE467-472C-44A8-ABE9-DAF0BF5F7548} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O15 - Trusted Zone: h**p://toolbar.imageshack.us
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - h**p://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - h**p://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**s://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\Firewall\cmdagent.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

--
End of file - 10772 bytes

Und wie sieht das jetzt aus?

LG
Vunana

Hallo,
habe die Datei mit Incredimail auch über Avenger gelöscht. Dieses Programm hatte ich mal installiert und dann wieder deinstalliert. Aber anscheinend nicht richtig!
War dieser Schritt des Löschens richtig? Ich hoffe sehr!

LG
Vunana

Hallo liebe Profis!

Könnt Ihr mir sagen, was ich nun machen soll? Ich denke, mein PC ist jetzt ziemlich sauber, aber die Werbeseiten erscheinen immer noch. Allerdings glaube ich nur beim Firefox, nicht beim IE. Woran liegt das?

Danke für Eure Hilfe!:dankeschoen::dankeschoen::dankeschoen:

Vunana

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
ciao, andreas

Hallo Andreas,

Danke für die schnelle Antwort. Leider verstehe ich das nicht alles, da ich in diesen Dingen nicht ganz so fit bin wie Du!

Soll ich nur diese eine Datei von virustotal auswerten lassen? Und soll ich noch andere Scanner laufen lassen, weil Du sagst, einzelne Virenscanner sollen sichtbar sein.

Bitte nochmals um kurze Hilfe!!

KG
Vunana

:daumenhoc
Nein. Du sollst nur alles kopieren, sobald der Scan bei Virustotal fertig ist. Wenn du es richtig machst, sollte es so ähnlich aussehen, wie hier: http://www.trojaner-board.de/66979-d...tml#post400221

ciao, andreas

Hi Andreas,
hoffe, daß es jetzt richtig ist.

Datei eywiw.exe empfangen 2008.12.22 21:12:06 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/38 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.22.0 2008.12.22 -
AntiVir 7.9.0.45 2008.12.22 -
Authentium 5.1.0.4 2008.12.22 -
Avast 4.8.1281.0 2008.12.21 -
AVG 8.0.0.199 2008.12.22 -
BitDefender 7.2 2008.12.22 -
CAT-QuickHeal 10.00 2008.12.22 -
ClamAV 0.94.1 2008.12.22 -
Comodo 800 2008.12.22 -
DrWeb 4.44.0.09170 2008.12.22 -
eSafe 7.0.17.0 2008.12.21 -
eTrust-Vet 31.6.6271 2008.12.20 -
Ewido 4.0 2008.12.22 -
F-Prot 4.4.4.56 2008.12.22 -
F-Secure 8.0.14332.0 2008.12.22 -
Fortinet 3.117.0.0 2008.12.22 -
GData 19 2008.12.22 -
Ikarus T3.1.1.45.0 2008.12.22 -
K7AntiVirus 7.10.562 2008.12.22 -
Kaspersky 7.0.0.125 2008.12.22 -
McAfee 5472 2008.12.22 -
McAfee+Artemis 5472 2008.12.22 -
Microsoft 1.4205 2008.12.22 -
NOD32 3711 2008.12.22 -
Norman 5.80.02 2008.12.22 -
Panda 9.0.0.4 2008.12.22 -
PCTools 4.4.2.0 2008.12.22 -
Prevx1 V2 2008.12.22 -
Rising 21.09.02.00 2008.12.22 -
SecureWeb-Gateway 6.7.6 2008.12.22 -
Sophos 4.37.0 2008.12.22 -
Sunbelt 3.2.1809.2 2008.12.22 -
Symantec 10 2008.12.22 -
TheHacker 6.3.1.4.195 2008.12.20 -
TrendMicro 8.700.0.1004 2008.12.22 -
VBA32 3.12.8.10 2008.12.22 -
ViRobot 2008.12.22.1530 2008.12.22 -
VirusBuster 4.5.11.0 2008.12.22 -
weitere Informationen
File size: 307200 bytes
MD5...: 881ff2c4c0febf70275761df4a7d8d22
SHA1..: 6bb3b9bd348086a4f39b55676af7c817367f6a5f
SHA256: 1fa93545433eb52050ecf32d8e9274c9b63d14dd7afe85039e81f851e27e7c5a
SHA512: 9125bb3a31c39f4ba91e4baa2ba660fae14973b3e6bf2892895ec3befc4281f1
5eedf531db8a73ad4686b57f35890ddcaae42ae79d7453d84247531dd295b069
ssdeep: 6144:c652WohRhF2HmH09VhPToAOgB+wzKykBbgK1Ki3AKOVDwfgbP/rv:1YTYHm
UzhkAftKYXZD4g/
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x431a80
timedatestamp.....: 0x48513830 (Thu Jun 12 14:52:32 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x30c0c 0x31000 7.45 ce351a11fb6d1481d5b318638cff7837
.rdata 0x32000 0xffe 0x1000 5.52 4deb52b00993f55de88280124844a821
.data 0x33000 0x177ec 0x18000 5.57 2e447376a74ecfa0e42d7922353b3c76

( 9 imports )
> OLEAUT32.dll: -, -
> SHELL32.dll: SHChangeNotify, SHBrowseForFolderA, SHGetSpecialFolderLocation, SHGetSpecialFolderPathW, DragQueryPoint
> GDI32.dll: SetTextColor, InvertRgn, GetTextFaceA, CreateSolidBrush, TranslateCharsetInfo, GetRgnBox, AddFontResourceA, CreateMetaFileA, CombineRgn, GetObjectType, SetLayout, CreateFontW, GetPolyFillMode
> COMCTL32.dll: ImageList_AddMasked
> ole32.dll: OleBuildVersion, StringFromGUID2
> KERNEL32.dll: VirtualUnlock, GetTapeParameters, VirtualAlloc, lstrlenA, ReadFileScatter, GetACP, GetProfileStringA, ExitThread, SetVolumeLabelA, GetStartupInfoA, TryEnterCriticalSection, SetLastError, LocalAlloc, LeaveCriticalSection, FreeResource, CreateDirectoryA, SetMailslotInfo, RemoveDirectoryW, SetFileAttributesA, FindNextChangeNotification, CreateMutexW, lstrcatW, FormatMessageA, SizeofResource, EnumResourceLanguagesW, GetCommandLineW, GetWindowsDirectoryA, GetCurrentDirectoryW, LoadResource, MultiByteToWideChar, SystemTimeToFileTime, PulseEvent, OpenMutexA, CompareStringA, SetStdHandle, SetFileTime, SetEnvironmentVariableA, ExpandEnvironmentStringsW, GetProcessTimes, SetConsoleMode, CreateWaitableTimerA, WritePrivateProfileSectionW, LoadLibraryExA, SuspendThread, CreateMutexA, ClearCommBreak, EraseTape, GlobalFlags, SetThreadAffinityMask, GetLocaleInfoW, SetConsoleCursorPosition, IsValidLocale, GetModuleHandleA, SetupComm, lstrcmpiW, CompareStringW, GetSystemInfo, GetHandleInformation, LocalLock, lstrcmpA, ReadConsoleA, ReadDirectoryChangesW, CreateDirectoryW, GetThreadContext, CloseHandle, LocalFileTimeToFileTime, GetBinaryTypeA, FreeEnvironmentStringsA, SetProcessShutdownParameters, EnumCalendarInfoW, GetCompressedFileSizeW, SetThreadLocale, SetProcessAffinityMask, GlobalFindAtomW, LCMapStringA, GetAtomNameA, PeekNamedPipe, SetConsoleActiveScreenBuffer, ReleaseMutex
> USER32.dll: SetDlgItemTextA, ChangeDisplaySettingsExA, PostQuitMessage, KillTimer, SetUserObjectSecurity, GetClipboardFormatNameA, CallWindowProcA
> ADVAPI32.dll: RegUnLoadKeyA, SetEntriesInAclW, RegReplaceKeyW, StartServiceW, RegQueryValueExW, IsTextUnicode, LookupAccountNameA, IsValidSid
> MSVCRT.dll: strtoul, _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, toupper, _kbhit, _ismbcdigit, _splitpath, _strcmpi, _wremove, freopen, mbstowcs, fgetws, _strnicoll, memchr, isxdigit, _ultow, strstr

( 0 exports )

:confused:

Starte HJT => Do a system scan only => Markiere:
=> Fix checked

Starte den Rechner neu und kontrolliere im Firefox.

ciao, andreas

Okay Andreas, habe die Datei gefixed und bin wieder im Firefox: es sieht gut aus!!! Sollte ich noch was Spezielles kontrollieren?
Und müßte ich nicht jetzt, wenn alles okay ist, wieder die alten Einstellungen (wie Systemwiederherstellung usw.) wieder herstellen? Und noch eine letzte Frage: hat wirklich diese eine Datei verursacht, daß immer neue Werbeseiten kamen und wieso das nur im Firefox und nicht im IE?
Würde halt gern nicht nur die empfohlenen Schritte ausführen, sondern auch verstehen, woran das lag!

Vunana

Klicke bitte oben rechts auf Private Nachrichten. Schicke die Datei an meine Emailadresse, die ich dir zugeschickt habe. Falls du es hinbekommst, dann komprimiere sie mit ZIP mit dem Kennwort infected. Falls du nicht weißt, wovon ich spreche, schicke sie mir einfach so.
Wir sind noch lange nicht fertig. Überlege dir gut, ob ein Neuaufsetzen nicht besser ist.
Genau da ist das Problem. Der Eintrag im HJT-Log deutete eindeutig auf Malware hin, nur kein Scanner erkennt den. Deswegen ja auch mein Smiley. :confused:
Tja, das kann ich dir erst dann sagen, wenn ich weiß, was das überhaupt ist. Sollte sich das als RAT erweisen, wirst du um ein Neuaufsetzen nicht herumkommen.
Jetzt müssen wir noch genauer kontrollieren, ob da nicht noch mehr ist.

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

4.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

5.) Mach auch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

6.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

Ufff, das sieht echt nach was Größerem aus! Habe Dir die Datei geschickt. Kann ich die anderen Schritte auch morgen Schritt für Schritt machen und Dir das dann abends posten? Weiß nicht, ob ich das jetzt noch alles schaffe, da das für mich Neuland ist und ich daher genau aufpassen muß.
Kann ich den PC jetzt beruhigt ausmachen?
Vunana

:daumenhoc
Ja. Solange er aus ist, kann nichts passieren. :)

Ich wünsche dir eine gute Nacht,
andreas

Das wünsche ich Dir auch! Und arbeite nicht mehr so viel.....:sleepy:

Vunana

So Andreas,

hier kommt der erste Teil. Ich hoffe, Du hast nichts dagegen, daß ich es abschnittweise mache, denn sonst schaffe ich es zeitlich nicht.

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1535
Windows 5.1.2600 Service Pack 3

23.12.2008 12:38:53
mbam-log-2008-12-23 (12-38-53).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 120560
Laufzeit: 40 minute(s), 42 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Viele Grüße und bis zum nächsten Scan!

Vunana

Bei Blacklight gab es keine "hidden objects" und nichts zu reparieren.

Reicht das erstmal so als Info für Dich?

LG
Vunana

Ja.

ciao, andreas

Hallo Andreas,

soll ich jetzt wirklich CCleaner Systembereinigung durchlaufen lassen und anschließend dieses ComboFix? Der PC läuft nämlich jetzt wirklich ohne weitere Werbeseiten, so, als ob das Problem bereits gelöst ist.
Oder soll ich auf weitere Anweisungen warten?

Vunana

Hallo Vunana,

Ja.
Nein.

Ich habe die Datei an Avira und MalwareBytes gesendet. Solange ich keine Antwort habe, weiß ich nicht, was es ist und wie wir weiter vorgehen. Wir scannen einfach mal auf Verdacht. Die Logs brauchst du nur dann zu posten, wenn etwas gefunden wurde. Lasse mal folgende Scanner laufen:

1.) Überprüfe dein System bitte noch mit SuperAntiSpyware und poste das log.

2.) CureIT Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

3.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

4.) Überprüfe den Rechner mit dem AVP-Tool sowie mit PrevXCSI.

ciao, andreas

Gute Nachrichten: Avira Antivirus Solutions

Du kannst alle Scans abbrechen.

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

ciao, andreas

Das klingt ja super!

Habe allerdings schon das ccleaner laufen gelassen. Es hat jede Menge gefunden und auch gesäubert.

Und hier trotzdem noch das log von der Super Antispyware:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 12/23/2008 at 06:20 PM

Application Version : 4.23.1006

Core Rules Database Version : 3682
Trace Rules Database Version: 1660
Scan type : Complete Scan
Total Scan Time : 00:48:08
Memory items scanned : 433
Memory threats detected : 0
Registry items scanned : 7071
Registry threats detected : 3
File items scanned : 73139
File threats detected : 0
Adware.MyWebSearch/FunWebProducts
HKU\S-1-5-21-1482476501-776561741-725345543-1004\SOFTWARE\FunWebProducts
HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}
HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\TreatAs


Soll ich die letzten Punkte in dem Tut noch abarbeiten?

MIt der anderen neuen Datei werde ich gleich anfangen.

LG und nochmals tausend Dank!
Vunana

Das schadet nicht, im Gegenteil. Solltest du etwa einmal im Monat laufenlassen. Auch die Registry säubern.

Nein, nicht notwendig, jetzt ist ja bekannt, wer der Störenfried ist und jetzt kann er gezielt gekillt werden.

Nochmal ein Dank an den schnellen Einsatz der Avira-Truppe. Auch wenn ich es schöner gefunden hätte, wenn der Name des Entdeckers den Malwarenamen beeinflusst hätte. :heilig:

ciao, andreas

Da bin ich schon wieder und zwar mit dem Bericht von navilog1:

Search Navipromo version 3.7.0 began on 23.12.2008 at 19:02:37,57

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1
Updated on 10.12.2008 at 21h00 by IL-MAFIOSO
Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3000+ )
BIOS : Default System BIOS
USER : XXX ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 (Activated)
Firewall : COMODO Firewall 3.5 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:76 Go (Free:58 Go)
D:\ (CD or DVD)
E:\ (USB)
Search done in normal mode
*** Searching for installed Software ***
*** Search folders in "C:\WINDOWS" ***
*** Search folders in "C:\Programme" ***
*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***
*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***
*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***
*** Search folders in "C:\Dokumente und Einstellungen\XXX\anwend~1" ***
*** Search folders in "C:\Dokumente und Einstellungen\XXX\lokale~1\anwend~1" ***
*** Search folders in "C:\Dokumente und Einstellungen\XXX\startm~1\progra~1" ***
*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : h**p://www.gmer.net
*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!
* Scan in "C:\WINDOWS\system32" *
* Scan in "C:\Dokumente und Einstellungen\XXX\lokale~1\anwend~1" *
*** Search files ***
*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!
HKEY_CURRENT_USER\Software\Lanconfig found !
*** Complementary Search ***
(Search specific files)
1)Search new Instant Access files :
2)Heuristic Search :
* In "C:\WINDOWS\system32" :
* In "C:\Dokumente und Einstellungen\XXX\lokale~1\anwend~1" :
eywiw.dat found !
eywiw_nav.dat found !
eywiw_navps.dat found !
3)Certificates Search :
Egroup certificate not found !
Electronic-Group certificate found !
Montorgueil certificate not found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !
4)Search others known folders and files :
*** Search completed on 23.12.2008 at 19:06:29,71 ***

So sieht´s aus! Und nun? Und welche Einstellungen muß ich nun wieder rückgängig machen? Virenprogramm, Systemwiederherstellung, Versteckte Dateien finden usw.?

Und natürlich auch von mir einen ganz herzlichen Dank an die Avira-Truppe. Super, daß es Euch gibt!

LG
Vunana

• Rufe das Programm bitte erneut auf und wähle die Option 2
• Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
• Sollte der Rechner nicht neustarten, tue dies bitte manuell.
• Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
• Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
• Das Scanergebnis bitte hier posten.

Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit [Strg][Alt][Entf] den Taskmanager auf und wähle unter Prozesse => Neuer Task ausführen aus. Gib dort explorer ein.
Eigentlich keine, aber das bleibt dir überlassen.

Systemwiederherstellung ist bei Malwarebefall eher kontraproduktiv. Ich habe bisher nur ein einziges Mal davon provitiert, bei einem Kunden, der eine Treiberinstallation vergurkt hatte. Sie verbraucht nur unnütz Speicherplatz.

Mit dem Aufräumen fangen wir an, sobald das letzte Log da ist. Muss nochmal schauen, was die Kollegen vor mir so installiert haben.

ciao, andreas

So, das wäre auch geschafft.

Hier das Scanergebnis:

Navipromo Removal version 3.7.0 started on 23.12.2008 at 21:04:49,56
Fix running from C:\Programme\navilog1
Updated on 10.12.2008 at 21h00 by IL-MAFIOSO
Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3000+ )
BIOS : Default System BIOS
USER : XXX ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 (Activated)
Firewall : COMODO Firewall 3.5 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:76 Go (Free:58 Go)
D:\ (CD or DVD)
E:\ (USB)

Automatic removal
with Catchme and GNS results
Cleanning stage done on Reboot
*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)
*** Deleting with Backups GenericNaviSearch results ***
* Deletion in "C:\WINDOWS\System32" *
* Deletion in "C:\Dokumente und Einstellungen\XXX\lokale~1\anwend~1" *
*** Deleting folders in "C:\WINDOWS" ***
*** Deleting folders in "C:\Programme" ***
*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1
progra~1" ***
*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***
*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***
*** Deleting folders in "C:\Dokumente und Einstellungen\XXX\anwend~1" ***
*** Deleting folders in "C:\Dokumente und Einstellungen\XXX\lokale~1\anwend~1" ***
*** Deleting folders in "C:\Dokumente und Einstellungen\XXX\startm~1\progra~1" ***
*** Deleting files ***
*** Deleting temporary files ***
Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\XXX\lokale~1\Temp done !
*** Complementary Search ***
(Search specific files)
1)Deletion with backups new Instant Access files:
2)Heuristic search and deletion with backups :
* In "C:\WINDOWS\system32" *
* In "C:\Dokumente und Einstellungen\XXX\lokale~1\anwend~1" *
eywiw.dat found !
Copy eywiw.dat done !
eywiw.dat deleted !
eywiw_nav.dat found !
Copy eywiw_nav.dat done !
eywiw_nav.dat deleted !
eywiw_navps.dat found !
Copy eywiw_navps.dat done !
eywiw_navps.dat deleted !
C:\WINDOWS\prefetch\eywiw*.pf found !
Copy C:\WINDOWS\prefetch\eywiw*.pf done !
C:\WINDOWS\prefetch\eywiw*.pf deleted !
*** Copy Registry to Safebackup folder ***
Backing up Registry done !
*** Cleaning Registry ***
Registry cleaned
*** Certificates ***
Egroup Certificate not found !
Electronic-Group Certificate deleted !
Montorgueil Certificate not found !
OOO-Favorit Certificate deleted !
Sunny-Day-Design-Ltd Certificate not found !
*** Search others known folders and files ***
*** Cleaning stage complete on 23.12.2008 at 21:07:34,46 ***

Was ist jetzt noch zu tun?

Vunana

Ein letztes Mal ein HJT-Log. Spybot kannst du deinstallieren. Alle anderen Programme, die wir im Laufe der Aktion benutzt haben auch. Falls das Deinstallieren (Start=>Systemsteuerung=>Software) nicht möglich ist, dann einfach die Programme löschen.

ciao, andreas

Was für eine Aktion! Ist mein PC jetzt sauber wie ein Babypopo?:)
Hab mir gedacht, ich laß das ccleaning und das Anti-Malware mal drauf. Ist ja sehr nützlich. Und das Thunderbird habe ich jetzt auch und die email-Konten gehen auch! Was für ein Tag! Das Outlook kann ich nun ruhigen Gewissens ´runterschmeißen, oder?

Hier das log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:43:08, on 23.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\COMODO\Firewall\cmdagent.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\T-Com\T-DSLS~1\SMARTB~1\Smartbridge.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\COMODO\Firewall\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\TomTom HOME 2\HOMERunner.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\T-Com\T-DSL Support Center\bin\TDSLSupportCenter.exe
C:\Programme\T-Com\T-DSL Support Center\bin\mpbtn.exe
C:\PROGRA~1\Motive\ASSTCO~1\MOTIVE~1.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\T-Com\T-DSLS~1\SMARTB~1\Smartbridge.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [NBJ] "C:\PROGRA~1\Ahead\NEROBA~1\NBJ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: T-DSL Support Center.lnk = C:\Programme\T-Com\T-DSL Support Center\bin\matcli.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Post Image to Blog - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5003
O8 - Extra context menu item: Tag This Image - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5002
O8 - Extra context menu item: Upload All Images to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5000
O8 - Extra context menu item: Upload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5001
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {1E5BE467-472C-44A8-ABE9-DAF0BF5F7548} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {1E5BE467-472C-44A8-ABE9-DAF0BF5F7548} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O15 - Trusted Zone: http://toolbar.imageshack.us
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - h**p://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - h**p://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**s://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\Firewall\cmdagent.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

--
End of file - 10081 bytes

Nochmals ganz, ganz lieben Dank für Deine viele Mühe und Arbeit! :dankeschoen:Ihr seid hier wirklich eine tolle Truppe! - Und nun wünsche ich Dir noch friedliche und schöne Weihnachtstage. Komm stressfrei ins Neue Jahr und laß es Dir gutgehen!:daumenhoc

Angelika

:)

Na da gibt es noch einiges zu tun. Ich würde die Comodo-Firewall noch deinstallieren. Weitere Kandidaten sind die Google-, Imageshack- und Yahoo-Toolbar. Acrobat Reader ist veraltet und gehört auch deinstalliert. Nimm stattdessen Foxit Software

Starte HJT => Do a system scan only => Markiere:
Meide Internetprogramme von Winzigweich (Microsoft). Anderen Emailklienten hast du ja schon und Outlook kann deinstalliert werden.

ciao, andreas

Okay, hab alles gemacht. Muß aber jetzt Schluß machen!:sleepy:

Danke und Gute Nacht!

Angelika