ständig sex poups
 

hi,

mein kleiner bruder hat sich neulich gedacht, er könne meinen rechner ohne mein einverständnis nutzen und ist dabei auf diverse sexseiten gelangt. suuuuupeeeeer! jetzt hab ich ständig sex popups und kleine andere popups, die mich fragen, ob ich nicht drive cleaner u dergleichen installieren will? NEIN WILL ICH NICHT !!! außerdem hab ich cookies auf meinem rechner, die sich selbverständlich nicht löschen lassen und mein explorer fährt nicht mehr hoch.
ich muß den taskmanager öffnen und ihn von dort aus starten. danach kann ich über das desktop alles aufrufen, was ich will.

besteht zwischen den extrem unnötigen und noch nervigeren sex popups bzw. dem explorer.exe problem ein zusammenhang?

wie könnte ich beides loswerden?

Mocca

Erstelle bitte ein HJT-Log und poste dieses vollständig (Anleitung in unserer FAQ-Sektion).

Hallo. :)

Als erstes sollest du ein Hijacklog posten, Anleitung dazu in meiner Signatur verlinkt.

Ist doch schön, wo kann man die herbekommen. :lach:

Gruß ;)
Sunny

hihi ja nun! surf halt auf diverse seiten und du hast die popups von ganz alleine! oder so. ;)

hier der log. habe ihn nicht im safemode gemacht, da ich froh bin, wenn mein rechner überhaupt mit desktop da ist. wer weiß, was als nächstes passiert ...

ich will gar nicht dran denken ... :pukeface:

Logfile of HijackThis v1.99.1
Scan saved at 17:51:30, on 07.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchosts.exe
E:\Programme\ewido anti-spyware 4.0\guard.exe
D:\NORTON~2\GHOSTS~2.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\Deamon -Tools\daemon.exe
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
E:\Programme\Napster\napster.exe
D:\QuickTime\2\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
E:\Programme\Easy Eraser V.1.2\Easy Eraser V.1.2.exe
E:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe
C:\Programme\Gemeinsame Dateien\{AC7FE66C-0534-1031-0202-040125020031}\Update.exe
C:\Programme\Ipwindows\ipwins.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Web\Webshots\webshots.scr
D:\Opera\opera.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\GEMEIN~1\{3C7FE~1\Bar888.dll
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Programme\VSAdd-in\VSAdd-in.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\Deamon -Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [NapsterShell] E:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\2\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [EasyEraser] "E:\Programme\Easy Eraser V.1.2\Easy Eraser V.1.2.exe"
O4 - HKLM\..\Run: [JeticoPFStartup] "E:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [{AC7FE66C-0534-1031-0202-040125020031}] "C:\Programme\Gemeinsame Dateien\{AC7FE66C-0534-1031-0202-040125020031}\Update.exe" mc-110-12-0000272
O4 - HKLM\..\Run: [IpWins] C:\Programme\Ipwindows\ipwins.exe
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\dfwseehj.dll",setvm
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Chckup] C:\WINDOWS\system32\Netverchk.exe
O4 - Startup: Webshots.lnk = D:\Programme\Web\Webshots\Launcher.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151245052149
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151245022526
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CS2\Services\Tcpip\..\{25DE5863-FFAF-4D94-A026-F7465DD21908}: NameServer = 192.168.0.1,213.133.99.99
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000272 (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: GhostStartService - Symantec Corporation - D:\NORTON~2\GHOSTS~2.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Lasse folgende Datei bitte hier scannen und poste das Ergebnis samt! Größenagabe und Haswerten (finden sich unterhalb des Reports).
C:\WINDOWS\System32\svchosts.exe

Ich gebe aber schon einmal die Prognose ab, dass Dein Bruder Schmerzen erleiden wird.

ah, toll, mir wird schlecht!!!

wie lautet denn deine prognose so? ich meine so präzise so? :eek:

Meine Prognose laute: Lasse die Datei scannen!

Es handelt sich dabei nicht um den einzigen Fund. ipwins ist da noch relativ harmlos. Es finden sich aber noch weitere äusserst bedenklich Sachen. Aber wenn der Scan dieser einen Datei zeigt, dass es sich dabei um einen Backdoortrojaner handelt, brauchen wir uns um den Rest keine Gedanken mehr machen, da dann einzig die Neuinstallation von Windows sinnvoll ist.

ach du sch***** mein kleiner bruder wird in der tat schmerzen erleiden!!!

ich lasse es schon unlängst scannen, aber laut auskunft der seite muß ich noch 16 min warten...

Du kannst Dir natürlich auch selbst das ein oder andere Vieh auf den rechner geholt haben. Sollte sich meine Vermutung bestätigen, kann es immer noch sein, dass Dein Bruder zwar für die Pop-Ups verantwortlich ist, aber nicht für den restlichen Schmuh. Immerhin ist dein System alles andere als aktuell. Das Service Pack 2 für Windows XP ist schon seit Jahren auf dem Markt und seit SP2 sind schon wieder so 40-50 sicherheitsrelevante Patches veröffentlicht worden.

so. bitteschön. du hast recht gehabt. super! ich bin so derart begeistert, ich könnte...


Complete scanning result of "svchosts.exe", processed in VirusTotal at
01/08/2007 16:04:22 (CET).

[ file data ]
* name: svchosts.exe
* size: 36864
* md5.: 7b69c00ba9f072dd06d61411fc09ded5
* sha1: c080169d9b2824399e3dd7a9678487e67841f4c5

[ scan result ]
AntiVir7.3.0.21/20070108found [TR/Dldr.Agent.bca.11]
Authentium4.93.8/20061230found nothing
Avast4.7.892.0/20061230found nothing
AVG386/20070107found [Generic2.MHF]
BitDefender7.2/20070108found [Adware.Softomate.Z]
CAT-QuickHeal9.00/20070108found [TrojanDownloader.Agent.bca]
ClamAVdevel-20060426/20070108found nothing
DrWeb4.33/20070108found nothing
eSafe7.0.14.0/20070108found nothing
eTrust-InoculateIT23.73.107/20070106found nothing
eTrust-Vet30.3.3311/20070108found nothing
Ewido4.0/20070108found [Downloader.Agent.bca]
F-Prot3.16f/20070105found nothing
F-Prot44.2.1.29/20070105found nothing
Fortinet2.82.0.0/20070108found [W32/Agent.BCA!tr.dldr]
IkarusT3.1.0.27/20070108found [Trojan-Downloader.Win32.Agent.bca]
Kaspersky4.0.2.24/20070108found [Trojan-Downloader.Win32.Agent.bca]
McAfee4933/20070105found [Matcash]
Microsoft1.1904/20070107found nothing
NOD32v21962/20070108found [Win32/Adware.Toolbar.888Bar]
Norman5.80.02/20071231found [W32/Softomate.ES.dropper]
Panda9.0.0.4/20070107found [Adware/Maxifiles]
Prevx1V2/20070108found [Generic.Email.Worm]
Sophos4.13.0/20070105found [CommAd]
Sunbelt2.2.907.0/20070105found nothing
TheHacker6.0.3.146/20070108found [Trojan/Downloader.Agent.bca]
UNA1.83/20070106found nothing
VBA323.11.1/20070108found [Trojan-Downloader.Win32.Agent.bca]
VirusBuster4.3.19:9/20070108found nothing

[ notes ]
norman sandbox: [ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO
- REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* File length: 36864 bytes.

[ Changes to filesystem ]
* Deletes file C:\WINDOWS\{837F873E-0000-1044--popo0000}.
* Creates directory C:\WINDOWS\{837F873E-0000-1044--popo0000}.
* Creates file
C:\WINDOWS\{837F873E-0000-1044--popo0000}\directorexe.lzma.
* Creates file
C:\WINDOWS\{837F873E-0000-1044--popo0000}\Update.exe.
* Deletes file
C:\WINDOWS\{837F873E-0000-1044--popo0000}\directorexe.lzma.
* Deletes file
C:\WINDOWS\{837F873E-0000-1044--popo0000}\directordll.lzma.

[ Changes to registry ]
* Creates key
"HKLM\Software\HARDWARE\DESCRIPTION\System\CentralProcessor\0".
* Creates key "HKLM\Software\HARDWARE\DESCRIPTION\System".
* Creates value
"{837F873E-0000-1044--popo0000}"=""C:\WINDOWS\{837F873E-0000-1044--popo0000}\Update.exe" " in key
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

[ Process/window information ]
* Will automatically restart after boot (I'll be back...).

[ Signature Scanning ]
* C:\WINDOWS\{837F873E-0000-1044--popo0000}\Update.exe (6656 bytes)
: W32/Softomate.ES.

besteht denn überhaupt die hoffnung, den trojaner vom rechner zu kriegen, auch nachdem ich neu installiert habe? ich höre von so vielen, daß das nicht der fall ist ...

würde mich auch sehr über nen tip freuen, wie ich meinen rechner in zukunft vernünftig schützen kann, denn inzwischen habe ich alle gängigen firewalls und antivirusprogramme draufgehabt und immer wieder viren auf dem rechner. es stinkt mir, daß ich nichts wirklich tun kann, um diese blöden viren, würmer & co von meinem rechner fern zu halten. es scheint geradezu egal zu sein, was ich auf meinem rechner laufen habe, ich krieg einfach immer irgend was drauf. das ist enorm ärgerlich. ich hasse viren ...

weiß ich denn nun überhaupt, welche daten ich speichern kann? vielleicht ist ja genau auf der datei die boshaftigkeit in daten?

ich bin echt verzweifelt hier :headbang:

so zwischendurch erstmal ganz herzlichen dank für deine bisherige hilfe. ich hoffe, du gibst mir auch gleich noch so wertvolle tips!

verzweifelt :(

Mocca

Das funktioniert auf jeden Fall. Ich schaue mir das später mal in Ruhe an. Unter Umständen musst Du noch weitere Dateien überprüfen. Eine Neuinstallation von Windows wird aber zweifelsohne der schnellere Weg sein. Eine Bereinigung kann funktionieren, aber gelegentlich erweist sich ein Exemplar als äusserst hartnäckig. Ich melde mich später nochmal.

Edit:

Führe mal einen Scan mit eScan durch. Anleitung hierfür:
http://www.trojaner-board.de/24192-e...en-ab-7-x.html
Poste bitte das Ergebnis der find.bat (siehe Anleitung).

ich lasse gerade den escan laufen und das war wohl keine so tolle idee. der scan fing einfach so an ich brauchte noch nicht mal in das verzeichnis, es ging einfach los. und fand 3 viren. hat 2 umbenannt. konnte keinen log speichern, weil programm schon geschlossen. und zwar schneller als ich schauen kann. hat sich am desktop scan am längsten aufgehalten und jetzt kommt das beste:

DIE SYMBOLE DES DESKTOP SIND WIEDER WEG UND ICH KRIEG NOCH NICHT MAL DEN TASKMANAGER AUF !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

jetzt ist nur noch opera auf und wenn ich das runterfahre, wer weiß was dann morgen passiert?

wie komme ich an die desktop symbole bzw an meinen rechner überhaupt, wenn nicht mal mehr der taskmanager funzt?? :eek:

das war glaub ich keine so gute idee mit dem scan. nachdem das programm "fertig gescannt" hatte, sagte es: fertig installiert. soll der rechner jetzt neu gestartet werden? was ich natürlich ablehnte. denn wie schon gesagt: weiß ich was mein rechner morgen macht? ich komm ja jetzt schon noch nicht mal mehr an den taskmanager ...

ich hab hier grad voll die panik ... :heulen:

hilfe!!!!

werde sehen, ob ich im safemode den taskmgr wieder zum laufen bringe

hier noch ein update, bevor ich die kiste für heute ausmache.

hab die kiste aus und nochmal angemacht und hab wohl ein sekündchen zu lange mit der F8 taste gewartet, denn ich kam in den nomal mode. es startete sofort und ohne mein fragen der escan. er fand: 32 fehler, 11 viren, 2 umbanannt und 10 gelöscht.

habe dank escan (zwar keinen log sichern können oder weiß auch nciht wo einer zu finden sein könnte, da sich das programm nach dem fertig scannen blitzschnell von alleine schließt.) die taskleiste und alle symble wieder vollständig da. mein rehcner ist echt unglaublich lahm, aber immerhin ist alles soweit da. habe meine daten retten können!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

meine güte!

felgende fehlermeldung tat sich auf nach dem neustart:
Fehler beim laden von "C:\Windows\System32\dfwseehj.dll Das angegebene modul konnte nicht gefunden werden.

hilft das weiter? was nun tun?

warte mal, hier hab ich was gefunden:

[msvLclnt.dll] [0x00000180] 09/01/2007 00:25:50:663 :ModuleName = E:\PROGRA~1\eScan\mwavscan.com
[msvLclnt.dll] [0x00000180] 09/01/2007 00:25:50:663 :Zugriff verweigert (0x5)
[msvLclnt.dll] [0x00000180] 09/01/2007 00:25:50:663 :ERROR!!! Unable to delete the Key "Autokey" Reason above.
[msvLclnt.dll] [0x00000180] 09/01/2007 00:25:57:093 :Options Set by External applications mwavscan.com are 9896960 (0x970400):
[msvLclnt.dll] [0x00000180] 09/01/2007 00:25:57:093 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[msvLclnt.dll] [0x00000180] 09/01/2007 00:25:57:093 :TimeOut : ffffffff
[msvLclnt.dll] [0x00000180] 09/01/2007 00:25:57:093 :Priority : NORMAL
[msvLclnt.dll] [0x00000148] 09/01/2007 00:26:54:575 :[00000001] File C:\WINDOWS\System32\svchosts.exe infected by Trojan-Downloader.Win32.Agent.bca
[msvLclnt.dll] [0x00000148] 09/01/2007 00:27:32:269 :[00000001] File C:\PROGRA~1\GEMEIN~1\{AC7FE~1\Update.exe infected by not-a-virus:AdWare.Win32.Softomate.u
[msvLclnt.dll] [0x00000148] 09/01/2007 00:27:32:550 :[00000001] File C:\Programme\Ipwindows\ipwins.exe infected by not-a-virus:AdWare.Win32.Maxifiles.ab
[msvLclnt.dll] [0x00000148] 09/01/2007 00:27:32:640 :[00000001] File C:\Programme\Ipwindows\ipwins.exe infected by not-a-virus:AdWare.Win32.Maxifiles.ab
[msvLclnt.dll] [0x00000148] 09/01/2007 00:27:35:053 :[00000001] File C:\PROGRA~1\GEMEIN~1\{AC7FE~2\Update.exe infected by not-a-virus:AdWare.Win32.Softomate.u
[msvLclnt.dll] [0x00000148] 09/01/2007 00:28:49:801 :[00000001] File C:\WINDOWS\12-b101c483c2fe3ac4a2bd5fae3377ef4f.exe infected by not-a-virus:AdWare.Win32.Beginto.f
[msvLclnt.dll] [0x00000148] 09/01/2007 00:28:50:161 :[00000001] File C:\WINDOWS\12-b101c483c2fe3ac4a2bd5fae3377ef4f.exe infected by not-a-virus:AdWare.Win32.Beginto.f
[msvLclnt.dll] [0x00000148] 09/01/2007 00:29:06:114 :[00000001] File C:\WINDOWS\System32\bpwkfdyk.dll infected by Trojan-Spy.Win32.VBStat.j
[msvLclnt.dll] [0x00000148] 09/01/2007 00:29:06:225 :[00000001] File C:\WINDOWS\System32\bpwkfdyk.dll infected by Trojan-Spy.Win32.VBStat.j
[msvLclnt.dll] [0x00000148] 09/01/2007 00:29:24:501 :[00000001] File C:\WINDOWS\System32\dfwseehj.dll infected by not-a-virus:AdWare.Win32.Virtumonde.gf
[msvLclnt.dll] [0x00000148] 09/01/2007 00:29:24:581 :[00000001] File C:\WINDOWS\System32\dfwseehj.dll infected by not-a-virus:AdWare.Win32.Virtumonde.gf
[msvLclnt.dll] [0x00000148] 09/01/2007 00:30:45:718 :[00000001] File C:\WINDOWS\System32\oynjspqs.exe infected by not-a-virus:AdWare.Win32.Agent.at
[msvLclnt.dll] [0x00000148] 09/01/2007 00:30:45:878 :[00000001] File C:\WINDOWS\System32\oynjspqs.exe infected by not-a-virus:AdWare.Win32.Agent.at
[msvLclnt.dll] [0x00000148] 09/01/2007 00:31:37:813 :[00000001] File C:\Temp\b122.exe infected by not-a-virus:AdWare.Win32.Maxifiles.ab
[msvLclnt.dll] [0x00000148] 09/01/2007 00:31:38:303 :[00000001] File C:\Temp\b122.exe infected by not-a-virus:AdWare.Win32.Maxifiles.ab
[msvLclnt.dll] [0x00000148] 09/01/2007 00:31:38:514 :[00000001] File C:\Temp\b130.exe infected by not-a-virus:AdWare.Win32.Softomate.u
[msvLclnt.dll] [0x00000148] 09/01/2007 00:31:38:744 :[00000001] File C:\Temp\b130.exe infected by not-a-virus:AdWare.Win32.Softomate.u
[msvLclnt.dll] [0x00000148] 09/01/2007 00:31:39:375 :[00000001] File C:\Temp\win3BF.tmp.exe infected by Trojan-Downloader.Win32.Agent.bdr
[msvLclnt.dll] [0x00000148] 09/01/2007 00:31:39:575 :[00000001] File C:\Temp\win3BF.tmp.exe infected by Trojan-Downloader.Win32.Agent.bdr
[msvLclnt.dll] [0x00000148] 09/01/2007 00:42:59:913 :VirusCount = 256895 Latest Date = 2007/01/08


da ich meine daten retten konnte bin ich nun ein wenig ruhiger :o

Das ist schon mal gut.

Das ist auch gut.

Nun Du hattest einen ganzen Zoo auf dem Rechner. Aufgrund der Tatsache, dass Dein Rechner sehr langsam ist (er war vorher schneller?), würde ich zur Sicherung Deiner Daten (Dokumente, Musik, Video - keine Programme!) raten um mit einer sauberen Neuinstallation dem Spuk ein Ende zu bereiten. Wir könnten jetzt noch 2 Tage rumfrickeln bis das Ding wieder richtig läuft, aber da scheint es sinnvoller, eine Neuinstallation vorzunehmen (dauert bei entsprechender Vorbereitung etwa 3-4 Stunden bis wirklich alles so ist wie es sein soll).

oh ja! er war in der tat schneller! :) besonders
nachdem ich die registry (vor monaten) optimiert und defragmentiert hatte. war großartig! ging knackig schnell ...

ganz ehrlich? ich bin für's rumfrickeln. ich bin immer offen zu lernen, gerade bei solchen mistviechern. schadet definitiv nicht. wenn du bereit wärst mir noch etwas von deiner zeit zu widmen, würde ich gern loslegen.?

ein zoo, hm? ist denn der zoo jetzt weg? hat escan tatsächlich schon mal das gröbste beseitigt?

grüße mocca :daumenhoc

Im Zoo hat zumindest ein Artensterben eingesetzt. Sollte eScan nicht wirklich alles erwischt haben, kann es sein, dass ein Virus wieder aktiv ist bzw ein anderer unbekannter noch sein Unwesen treibt.

Also:

Erstelle nochmal ein HJT-Log und poste dieses. Dann schauen wir mal, ob zumindest oberflächlich alles in Ordnung ist.
Danach bitte nochmal eScan laufen lassen damit wir sehen, ob von den bereits entfernten Viechern nicht wieder etwas zum Leben erweckt wurde.

so. mußte überstunden arbeiten und gleich nachher wieder aufstehen ... gäääähn

bitteschön. hier der hjt log von heute. nicht im safe mode ausgeführt. wäre das besser? dann mach ich gleich nachher noch einen. oder besser morgen früh.

habe escan laufen lassen und jetzt weiß ich ganz genau, welche 3 dateien die trojaner sind. die sind leider, leider meine eigene schuld. escan hat sie wohl gelöscht und ich hoffe, sie kommen nicht wieder.
muß nur noch die registry scannen und werd alles morgen früh posten.

(ein popup fragt mich grad schon wieder ob ich nicht vielleicht doch noch den drive cleaner installieren möchte, d h daß da immer noch spyware ist. "ErrorSafeCorporation" soll ich da zulassen. schönen dank auch. natürlich nicht.)

wie dem auch sei. what else? oh ja: das log file:

Logfile of HijackThis v1.99.1
Scan saved at 23:23:19, on 09.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\PROGRA~1\eScan\TRAYSSER.EXE
E:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\GEARSec.exe
E:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
E:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
E:\Programme\Deamon -Tools\daemon.exe
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
E:\Programme\Napster\napster.exe
D:\QuickTime\2\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
E:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe
E:\Programme\Easy Eraser V.1.2\Easy Eraser V.1.2.exe
E:\Programme\Norton Ghost\Agent\GhostTray.exe
E:\PROGRA~1\eScan\TRAYICOS.EXE
E:\PROGRA~1\eScan\AVPMWrap.EXE
E:\PROGRA~1\eScan\MAILDISP.EXE
C:\WINDOWS\System32\ctfmon.exe
E:\PROGRA~1\ESCAN\SPOOLER.EXE
E:\PROGRA~1\eScan\AvpM.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Programme\Web\Webshots\webshots.scr
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\Deamon -Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [NapsterShell] E:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\2\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [JeticoPFStartup] "E:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\dfwseehj.dll",setvm
O4 - HKLM\..\Run: [EasyEraser] "E:\Programme\Easy Eraser V.1.2\Easy Eraser V.1.2.exe"
O4 - HKLM\..\Run: [Norton Ghost 10.0] "E:\Programme\Norton Ghost\Agent\GhostTray.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "E:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] E:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] E:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Chckup] C:\WINDOWS\system32\Netverchk.exe
O4 - Startup: Webshots.lnk = D:\Programme\Web\Webshots\Launcher.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151245052149
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151245022526
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CS2\Services\Tcpip\..\{25DE5863-FFAF-4D94-A026-F7465DD21908}: NameServer = 192.168.0.1,213.133.99.99
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - E:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - E:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Norton Ghost - Symantec Corporation - E:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

sag mir nicht, daß der zoo wieder eine arche noah geworden ist :(

mein rechner hat sich soweit erstmal prima hochgefahren, braucht aber immer noch ewigkeiten bspweise zum öffnen des arbeitsplatzes. aber ich will mal nicht ungeduldig sein, eins nach dem anderen.

Mocca

Im HJT-Log sehe ich nur noch Hank und Joe, die zwei Pennerbrüder. wir versuchen es mal mit Killbox - Pocket KillBox. Nimm die folgenden zwei Dateien gemäß Anleitung (erst vollständig! lesen, dann rumfrickeln) in die Liste auf:

C:\WINDOWS\system32\Netverchk.exe
C:\WINDOWS\System32\dfwseehj.dll

Wichtig ist, dass die Dateien in einem Rutsch gelöscht werden. Du musst also nach dem Auswählen der ersten Datei und Klick auf das rote Kreuz, die folgende Abfrage nach einem Neustart verneinen, dann die zweite Datei angeben, auf das rote Kreuz klicken und dann erst die Frage nach einem Neustart mit "ja" beantworten.
Im Anschluss daran, ein neues HJT-Log erstellen.

hier noch der escan:

Wed Jan 10 09:20:40 2007 => Checking Module Usage Entries...
Wed Jan 10 09:20:40 2007 => Checking User Trusted External App Entries...
Wed Jan 10 09:20:40 2007 => Checking Shared DLL Entries...
Wed Jan 10 09:20:43 2007 => Checking App Path Entries...
Wed Jan 10 09:20:44 2007 => Checking Installer Entries...
Wed Jan 10 09:20:47 2007 => Checking Shared Tools Entries...
Wed Jan 10 09:20:47 2007 => Checking File Extension Entries...
Wed Jan 10 09:20:47 2007 => Checking Application Cache Entries...

Wed Jan 10 09:20:47 2007 => ***** Überprüfe spezielle ITW Viren *****
Wed Jan 10 09:20:47 2007 => Überprüfe auf Welchia Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf LovGate Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf CodeRed Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf OpaServ Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf Sobig.e Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf Winupie Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf Swen Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf JS.Fortnight Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf Novarg Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf Pagabot Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf Parite.b Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf Parite.a Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf Adware.SeekSeek Virus...

Wed Jan 10 09:20:47 2007 => ***** Scan vollständig. *****

Wed Jan 10 09:20:47 2007 => Gescannte Dateien: 18381
Wed Jan 10 09:20:47 2007 => Gefundene Viren: 0
Wed Jan 10 09:20:47 2007 => Anzahl der desinfizierten Dateien: 0
Wed Jan 10 09:20:47 2007 => Umbenannte Dateien: 0
Wed Jan 10 09:20:47 2007 => Anzahl der gelöschten Dateien: 0
Wed Jan 10 09:20:47 2007 => Anzahl Fehler: 5
Wed Jan 10 09:20:47 2007 => Dauer des Scans bisher: 00:02:14
Wed Jan 10 09:20:47 2007 => Virus-Datenbank Datum: 1/9/2007
Wed Jan 10 09:20:47 2007 => Virus-Datenbank Zähler: 257159

Wed Jan 10 09:20:47 2007 => Scan vollständig.

keine viren oder trojaner gefunden.
das merkwürdige ist aber, daß heute früh der explorer wieder nicht von alleine starten wollte. hm. muß ich das verstehen?

Das der Explorer nicht starten will, könnte uns in die Situation bringen, mal etwas Sisyphus zu spielen. Zuerst aber bitte das HJT-Log. Inzwischen kannst Du schon mal das Downloaddetails: Windows XP Service Pack 2 für IT-Spezialisten und Entwickler herunterladen.

hier nun zuerst das, was in "registry und speicher" von escan gefunden wurde:


Wed Jan 10 21:50:38 2007 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Wed Jan 10 21:50:38 2007 => Loading Spyware Signatures from new External Database (Size: 200150).
Wed Jan 10 21:50:46 2007 => Indexed Spyware Databases Successfully Created...

Wed Jan 10 21:50:49 2007 => System found infected with toolbar888 Browser Hijacker ({569304ba-83ed-4cff-ac26-be3e482f7208})! Action taken: Einträge entfernt.
Wed Jan 10 21:50:49 2007 => Object "toolbar888 Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:50:51 2007 => System found infected with toolbar888 Browser Hijacker ({c6f2214e-0b54-45a9-b90d-7dd4ba45ed0b})! Action taken: Einträge entfernt.
Wed Jan 10 21:50:51 2007 => Object "toolbar888 Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:50:52 2007 => Deleting Registry Key: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\smartshopper
Wed Jan 10 21:50:53 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\smartshopper !!!
Wed Jan 10 21:50:53 2007 => Object "hotbar.shopperreports Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:50:53 2007 => Deleting Registry Key: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\smartshopper
Wed Jan 10 21:50:53 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\smartshopper !!!
Wed Jan 10 21:50:53 2007 => Object "hotbar.shopperreports Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:50:53 2007 => Deleting Registry Key: HKLM\Software\magnet
Wed Jan 10 21:50:53 2007 => Offending Key found: HKLM\Software\magnet !!!
Wed Jan 10 21:50:53 2007 => Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:50:54 2007 => Deleting Registry Key: HKCU\Software\smartshopper
Wed Jan 10 21:50:54 2007 => Offending Key found: HKCU\Software\smartshopper !!!
Wed Jan 10 21:50:54 2007 => Object "hotbar.shopperreports Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:50:55 2007 => Deleting Registry Key: HKCU\\magnet
Wed Jan 10 21:50:55 2007 => Offending Key found: HKCU\\magnet !!!
Wed Jan 10 21:50:55 2007 => Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:50:59 2007 => Offending Folder found: C:\WINDOWS\System32\smartshopper
Wed Jan 10 21:50:59 2007 => Deltree of Folder C:\WINDOWS\System32\smartshopper...
Wed Jan 10 21:51:00 2007 => Object "hotbar.shopperreports Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:51:27 2007 => Checking CLSID Reference Entries...
Wed Jan 10 21:51:30 2007 => Entry "HKCR\HNetCfg.FwAuthorizedApplication" verweist auf das ungültige Objekt "{EC9846B3-2762-4A6B-A214-6ACB603462D2}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:51:30 2007 => Entry "HKCR\HNetCfg.FwMgr" verweist auf das ungültige Objekt "{304CE942-6E39-40D8-943A-B913C40C9CD4}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:51:30 2007 => Entry "HKCR\HNetCfg.FwOpenPort" verweist auf das ungültige Objekt "{0CA545C6-37AD-4A6C-BF92-9F7610067EF5}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:51:31 2007 => Entry "HKCR\MSIDXS" verweist auf das ungültige Objekt "{F9AE8980-7E52-11d0-8964-00C04FD611D7}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:51:31 2007 => Entry "HKCR\MSIDXS ErrorLookup" verweist auf das ungültige Objekt "{F9AE8981-7E52-11d0-8964-00C04FD611D7}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

danach der hjt log ausgeführt:

Logfile of HijackThis v1.99.1
Scan saved at 23:02:46, on 10.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\PROGRA~1\eScan\TRAYSSER.EXE
E:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\GEARSec.exe
E:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
E:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
E:\Programme\Deamon -Tools\daemon.exe
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
E:\Programme\Napster\napster.exe
D:\QuickTime\2\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
E:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe
E:\Programme\Easy Eraser V.1.2\Easy Eraser V.1.2.exe
E:\Programme\Norton Ghost\Agent\GhostTray.exe
E:\PROGRA~1\eScan\TRAYICOS.EXE
E:\PROGRA~1\eScan\AVPMWrap.EXE
E:\PROGRA~1\eScan\MAILDISP.EXE
C:\WINDOWS\System32\ctfmon.exe
E:\PROGRA~1\ESCAN\SPOOLER.EXE
E:\PROGRA~1\eScan\AvpM.exe
D:\Programme\Web\Webshots\webshots.scr
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\Deamon -Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [NapsterShell] E:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\2\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [JeticoPFStartup] "E:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\dfwseehj.dll",setvm
O4 - HKLM\..\Run: [EasyEraser] "E:\Programme\Easy Eraser V.1.2\Easy Eraser V.1.2.exe"
O4 - HKLM\..\Run: [Norton Ghost 10.0] "E:\Programme\Norton Ghost\Agent\GhostTray.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "E:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] E:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] E:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Chckup] C:\WINDOWS\system32\Netverchk.exe
O4 - Startup: Webshots.lnk = D:\Programme\Web\Webshots\Launcher.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151245052149
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151245022526
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CS2\Services\Tcpip\..\{25DE5863-FFAF-4D94-A026-F7465DD21908}: NameServer = 192.168.0.1,213.133.99.99
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - E:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - E:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Norton Ghost - Symantec Corporation - E:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

------------------

wollte grad ein hjt log und killbox.exe im safe mode ausführen, aber da kann ich den explorer schon gleich gar nicht länger als 2 sekunden (buchstäblich!!!) offen halten. deshalb gleich wieder zurück in den normal mode. dementsprehend kann ich auch nicht mit killbox.exe arbeiten, denn im normal mode bringt das nicht viel, oder? wenn doch, leg ich sofort los.

interessant:
meine partition c ist "auf einmal" so voll, daß ich tatsächlich erst das eine oder andere gb hinschieben muß, sonst ist für service pack 2 kein platz, fürchte ich. würde gern mit partition manager 8 arbeiten, weiß aber nicht, ob das im moment so ratsam ist. aber ohne platz

Dann leg los.
Nur mal so für's Protokoll: ich glaube wir operieren einen Hirntoten.

wie jetzt?

Ignorier das einfach.

Hallo Mocca,

erst einmal eine klare Antwort auf deine Frage, ob es möglich ist, sich vor diesem Schadcode zu schützen: Ja ist es, und meiner Meinung nach auch gar nicht so schwierig.

Wie du dein System neu aufsetzt und danach richtig absicherst, kannst du hier im Board nachlesen. Viele User haben die Anleitung in ihrer Signatur.

Nachdem dein System mit ServicePack 2 und allen aktuellen Patches installiert worden ist, ist zu empfehlen, einen aktuellen Virenscanner zu installieren und deinen E-Mail Clienten sicher konfigurieren bzw. direkt einen sicheren E-Mail Client wie z.B GcMail oder den internen von Opera zu nutzen und auf Outlook zu verzichten.

Der Browser spielt ebenfalls eine wichtige Rolle. Ich empfehle nicht den IE zu nutzen, sondern z.B auf Opera oder Firefox zu wechseln. Mit Opera ist es z.B durch den PopUp Blocker möglich, komplette Seiten unbemerkt zu sperren. Eine Regel könnte z.B. so aussehen: http://*sex*.* ; So werden Seiten, die solche PopUps verbreiten oft gar nicht angezeigt werden.

Mit dem Tool Dingens.org kannst du außerdem überflüssige Dienste deaktivieren, damit dein System nicht eine zu große Agriffsfläche bietet.

Mit freundlichen Grüßen
David

freundliche grüße zurück,
mocca

so. mit killbox beide files gelöscht und neuen hjt scan erstellt:

Logfile of HijackThis v1.99.1
Scan saved at 13:47:16, on 11.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\PROGRA~1\eScan\TRAYSSER.EXE
E:\Programme\ewido anti-spyware 4.0\guard.exe
E:\PROGRA~1\eScan\TRAYICOS.EXE
C:\WINDOWS\System32\GEARSec.exe
E:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
E:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\taskmgr.exe
E:\Programme\Easy Eraser V.1.2\Easy Eraser V.1.2.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\dllhost.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\Deamon -Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\2\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [JeticoPFStartup] "E:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\dfwseehj.dll",setvm
O4 - HKLM\..\Run: [EasyEraser] "E:\Programme\Easy Eraser V.1.2\Easy Eraser V.1.2.exe"
O4 - HKLM\..\Run: [Norton Ghost 10.0] "E:\Programme\Norton Ghost\Agent\GhostTray.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "E:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] E:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] E:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Chckup] C:\WINDOWS\system32\Netverchk.exe
O4 - Startup: Webshots.lnk = D:\Programme\Web\Webshots\Launcher.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151245052149
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151245022526
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CS2\Services\Tcpip\..\{25DE5863-FFAF-4D94-A026-F7465DD21908}: NameServer = 192.168.0.1,213.133.99.99
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - E:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - E:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Norton Ghost - Symantec Corporation - E:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

hirntot *tz* :cool:

kümmere mich jetzt noch um den platz, dann kommt sp2 dran.

was nun?

Überprüfe bitte mit der suchfunktion ob beide Dateien noch vorhanden sind oder ob sie wirklich gelöscht wurden. Achte darauf, dass die Ordneroptionen wie folgt eingestellt sind:

http://www.trojaner-board.de/59624-a...-sichtbar.html

Falls sie nicht gelöscht wurden, solltest Du tief in Dich gehen und überlegen wie das Passwort für den Account namens "Administrator" lautet (Du wirst es brauchen).

Ordner sind schon so eingestellt, sodaß die suchfunktion die beiden dateien noch gefunden hat. "Netverchk.exe" sitzt im Windows\Prefetch, das andere im system 32.

Interessant! dieses konto mit dem namen "administrator" gibt es nur, wenn ich in den safe mode starte. sonst hab ich da nix eingerichtet, was so heißt. wüßte also auch nix von einem passwort diesbezüglich ... hä? was will mein rechner jetzt schon wieder? :confused:

ich schau nochmal nach ...

OK, vermutlich hat dieser Account kein Passwort (dies ist ausnahmsweise mal günstig).

Schnapp Dir Deine Windows XP CD und los geht's.

Vorsicht, es folgt viel Text, der aber nur wenig Info enthält (stammt von Microsoft):

* Starten der Wiederherstellungskonsole

Entweder:
Starten Sie den Computer mithilfe der Windows-Setupdisketten oder der Windows-CD. Drücken Sie im Begrüßungsbildschirm die Taste [F10] oder die Taste [R], um die Installation zu reparieren.
Oder:
Verwenden Sie das Dienstprogramm "Winnt32.exe" mit der Option /cmdcons, um die Windows-Wiederherstellungskonsole zum Windows-Autostartordner hinzuzufügen (Start > Ausführen > winnt32.exe /cmdcons).

* Verwenden der Befehlskonsole

Nach dem Starten der Windows-Wiederherstellungskonsole wird die folgende Meldung angezeigt:

Microsoft Windows XP(TM)-Wiederherstellungskonsole

Die Wiederherstellungskonsole bietet Reparatur- und Wiederherstellungsfunktionen.
Geben Sie "exit" ein, um die Wiederherstellungskonsole zu beenden und den Computer neu zu starten.

1: C:\WINDOWS

Bei welcher Windows-Installation möchten Sie sich anmelden?
Drücken Sie die Eingabetaste, um den Vorgang abzubrechen.

Nachdem Sie die Nummer für die entsprechende Windows-Installation eingegeben haben, werden Sie zur Eingabe des Kennworts für das Administratorkonto aufgefordert (in Deinem Fall ENTER drücken).

Hinweis: Sollte die Wiederherstellungskonsole das leere Passwort nicht aktzeptieren, musst Du für dieses Konto ein Passwort vergeben und dann die Prozedur wiederholen.

So, nun kommt der eigentliche Teil. Jede Zeile musst Du mit ENTER bestätigen.

del /F C:\WINDOWS\System32\dfwseehj.dll
del /F C:\WINDOWS\system32\Netverchk.exe
exit

Danach bootest Du wieder normal Dein Windows und schaust, ob die beiden Dateien diesmal weg sind. Wenn nicht, ist noch irgendwas anderes auf dem Rechner :mad:


Sollte etwas unklar sein, frag einfach.

kann F10 oder R oder Start -> Ausführen -> Winnt32.exe /cmdcons eingeben wie ich will, wenn xp cd in laufwerk liegt.

komme nicht an wiederherstellungskonsole wobei ich mir sehr sicher bin, daß ich alles richtig eingegeben habe

moment mal!

killbox hat einen riesen großen nachteil: es macht ein backup von allem was man zu löschen glaubt ("backup and delete bla bla bla?). also befindet sich aswboot.exe schön im killbox order. wunderbar. soll ich das teilchen einfach nur mit rechtsklick löschen oder was mach ich nun?

Beim Booten mit der CD im Laufwerk! F 8 drücken. Danach im Installationsdialog R drücken.

Ja.

inzwischen geht auch mein internet nicht mehr. sämtliche scans zeigen, daß nicht auf meinem rechner ist. sehr witzig!

F10 oder R ... habe ich direkt beim booten der cd gedrückt. nichts. ich krieg noch nicht mal mehr norton ghost zum laufen, um den orginalzustand von windows wiederherzustellen.

:schrei:

sitze in der bibo von wo aus ich gehofft hatte nochmal ne trial version von norton ghost auf nen stick zu ziehen und das dann direkt auf meinen rechner zu packen. aber die paranoide uni läßt null downloads zu ... höchstens in einen Temporären Ordner, auf den man - richtig!!! - keinen zugriff hat ...

:heulen:

dann hilft wohl alles nichts

kannst du mir ne sehr gute firewall und antivirus programm empfehlen? du persönlich bitte (schick mir bitte nicht den link von eurer seite) am besten irgendwas, das mich warnt, wenn irgendwas an meinem rechner anklopft.

herzlichen dank für all deine zeit und hilfe!!!

Mocca

(hoffe, daß dann alle viren und backdoors weg sind. kannst du dann nochmal "nachschauen" wenn alles neu ist ob sich noch fieslinge auf meinem rechner befinden?)

nachdem ich das system nun neu aufgesetzt habe, geht mein internet (wie vorher) immer noch nicht. hm. ist da noch was auf meinem rechner? brauchst du einen hijackthis scan?