Virus gelöscht aber fenster öffnen sich immer noch von alleine!

Begonnen von Lsp!, 09. November 2005, 20:06:40 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Lsp!

Moin

Ich hab mir mal ne datein ausm internet geladen die ich besser nicht hätte runter laden dürfen!
Als die datei fertig gedownloadet war hat antiVir gleich ein virus gemeldet, da hab ich denn sofort
auf löschen geklickt!
So der Virus hat sich dann aber schon verbreitet, nun öffnen sich immer von alleine irgendwelche
werbe fenster!
Dann hab ich antiVir voll geupdatet durchlaufen lassen!
dabei wurden noch zwei Viren gefunden und auch gelöscht!
hab antiVir noch ein paar mal durchlaufen lassen aber keine viren gefunden!
die fester öffnen sich aber immer noch von alleine
dann hab ich adware durch laufen lassen! fester öffnen sich immer noch!
Dann hab ich mein antiVir deinstalliert und 90tage version von kasperski installier,
weil man mir gesagt hat das kasperski mehr erkennt!
gut kasperski hat denn auch nix gefunden und die fesnter öffnen sich immer noch von alleine
nun weiß ich nicht was ich machen soll!
Denn kann es ja eigendlich nur sein das der virus irgendwas verstellt hat!
ich hab alles ausm systemstart rausgenommen aber die fester öffnen sich immer
wieder und das 1mal in der minunte!

wäre gut wenn mir jemand helfen kann!

MFG LSP
System:
EVGA nforce 680i SLI
EVGA geforce 8800GTX
Intel core2duo E6600
Corsair 2GB 6400C4Pro
PowerLine 600Watt

TMK


Maniac

Was sind das denn für Werbefenster, sind die im Internet Explorer? Lass mal den Spybot drüberlaufen.

nexus

-Core 2 Duo E8400 (3,0 Ghz)
-Msi P45 Neo
-MDT 2GB
-Club3D Radeon 4850
- Samsung HD322HJ
-BQuiet 400 Watt
-Thermaltake Xaser Lanfire VM1000

Maniac

Darauf wollte ich ja hinaus ;)
Ich bzw. ein kollege hatte auch mal so ein ähnliches Problem (noch zu IE-Zeiten), habs glaub ich mit symantec und spybot gelöst.

Lsp!

ich benutzte schon firefox und die fenster offnen sich da drin und spybot findet auch nix!
System:
EVGA nforce 680i SLI
EVGA geforce 8800GTX
Intel core2duo E6600
Corsair 2GB 6400C4Pro
PowerLine 600Watt

gandal

Kannst Du mal konkreter werden ? z.B. mit einer URL oder so.
Auf vielen Seiten werden ja Fensterchen mit Werbung geöffnet. Nicht alle bekommt man mit einem POPUP-Blocker weg.
         
Real Programmers code in binary

Lsp!

Hier ein paar URLs:

http://adserver.softwareonline.com/AdServer/RegClean/NewLanding/newdownload.asp?download=http://adserver.sharewareonline.com/adserver/regclean_ell.exe&Scroll=No

http://oas-central.realmedia.com/RealMedia/ads/adstream_sx.ads/exactmb/cing5332ab2b/cache_bust@x03

http://oas-central.realmedia.com/RealMedia/ads/adstream_sx.ads/exactmb/cing5328anascar/cache_bust@x04

http://www.deal-pro.com/normal/yyy102.html

und noch viele mehr!
System:
EVGA nforce 680i SLI
EVGA geforce 8800GTX
Intel core2duo E6600
Corsair 2GB 6400C4Pro
PowerLine 600Watt

TMK

Joa, und ein aktuelles Hijackthis-Logfile posten, siehe:

http://www.hardwareecke.de/berichte/sicherheit/viren_trojaner_hijacker_schutz_beseitigung_2.php

Lsp!

Hier wenn man damit was anfangen kann! Ich hab davon kA ??? !

**** Run Keys ****

RUN: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
RUN: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
RUN: [TSDAT32 Loader] C:\WINDOWS\system32\tsdat32.exe


**** Browser Helper Objects ****



**** IE Toolbars ****



**** IE Extensions ****



**** Hosts File Entries ****

HOSTS: 127.0.0.1       localhost
HOSTS: 127.0.0.1  www.pacimedia.com
HOSTS: 127.0.0.1  www.pacimedia.com
HOSTS: 127.0.0.1  www.pacimedia.com
HOSTS: 127.0.0.1  www.pacimedia.com
HOSTS: 127.0.0.1  www.pacimedia.com
HOSTS: 127.0.0.1  www.pacimedia.com
HOSTS: 127.0.0.1  www.pacimedia.com
HOSTS: 127.0.0.1  www.pacimedia.com
HOSTS: 127.0.0.1  www.pacimedia.com
HOSTS: 127.0.0.1  as.adwave.com
HOSTS: 127.0.0.1  sr.adwave.com
HOSTS: 127.0.0.1  www.adwave.com
HOSTS: 127.0.0.1  adwave.com EVENT:HOST:127.0.0.1
HOSTS: 127.0.0.1  www.pacimedia.com
HOSTS: 127.0.0.1  www.pacimedia.com
HOSTS: 127.0.0.1  www.igetnet.com
HOSTS: 127.0.0.1  code.ignphrases.com
HOSTS: 127.0.0.1  clear-search.com
HOSTS: 127.0.0.1  r1.clrsch.com
HOSTS: 127.0.0.1  sds.clrsch.com
HOSTS: 127.0.0.1  status.clrsch.com
HOSTS: 127.0.0.1  www.clrsch.com
HOSTS: 127.0.0.1  clr-sch.com
HOSTS: 127.0.0.1  sds-qckads.com
HOSTS: 127.0.0.1  status.qckads.com
HOSTS: 127.0.0.1  www.qoolaid.com
HOSTS: 127.0.0.1  www.qoologic.com
HOSTS: 127.0.0.1  www.CLKPrecision.com
HOSTS: 127.0.0.1  www.urllogic.com
HOSTS: 127.0.0.1  www.clkoptimizer.com
HOSTS: 127.0.0.1  www.isearch.com
HOSTS: 127.0.0.1  isearch.com
HOSTS: 127.0.0.1  www.idownload.com
HOSTS: 127.0.0.1  idownload.com
HOSTS: 127.0.0.1  www.mytotalsearch.com
HOSTS: 127.0.0.1  mytotalsearch.com
HOSTS: 127.0.0.1  www.lop.com
HOSTS: 127.0.0.1  lop.com
HOSTS: 127.0.0.1  www.websearch.com
HOSTS: 127.0.0.1  websearch.com
HOSTS: 127.0.0.1  www.page-not-found.net
HOSTS: 127.0.0.1  page-not-found.net
HOSTS: 127.0.0.1  www.isearchhere.com
HOSTS: 127.0.0.1  isearchhere.com
HOSTS: 127.0.0.1  xads.offeroptimizer.comm
HOSTS: 127.0.0.1  search.offeroptimizer.com
HOSTS: 127.0.0.1  ximages.offeroptimizer.com
HOSTS: 127.0.0.1  xlime.offeroptimizer.com
HOSTS: 127.0.0.1  xadsj-o.offeroptimizer.com
HOSTS: 127.0.0.1  xadsj.offeroptimizer.com
HOSTS: 127.0.0.1  www.offeroptimizer.com
HOSTS: 127.0.0.1  www.pacimedia.com
HOSTS: 127.0.0.1  www.pacimedia.com


**** IE Settings ****

Default Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default Search: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch


**** IE Context Menu (Right click) ****



**** Layered Service Providers ****

LSP: MSAFD Tcpip [TCP/IP]
LSP: MSAFD Tcpip [UDP/IP]
LSP: RSVP UDP Service Provider
LSP: RSVP TCP Service Provider
LSP: MSAFD nwlnkipx [IPX]
LSP: MSAFD nwlnkspx [SPX]
LSP: MSAFD nwlnkspx [SPX] [Pseudo Stream]
LSP: MSAFD nwlnkspx [SPX II]
LSP: MSAFD nwlnkspx [SPX II] [Pseudo Stream]
LSP: MSAFD NetBIOS [\Device\NwlnkNb] SEQPACKET 6
LSP: MSAFD NetBIOS [\Device\NwlnkNb] DATAGRAM 6
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{274C3E38-043C-494E-852A-8FF30943280B}] SEQPACKET 7
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{274C3E38-043C-494E-852A-8FF30943280B}] DATAGRAM 7
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{35571D6D-76E1-4484-BCD0-22EC04357222}] SEQPACKET 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{35571D6D-76E1-4484-BCD0-22EC04357222}] DATAGRAM 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{F59301E0-22F6-44E6-A4A8-B870E909583B}] SEQPACKET 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{F59301E0-22F6-44E6-A4A8-B870E909583B}] DATAGRAM 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{55BC2E2E-A576-4401-871F-A6CD8400B54B}] SEQPACKET 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{55BC2E2E-A576-4401-871F-A6CD8400B54B}] DATAGRAM 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{121729E9-8CED-40AB-9CA1-A928A461145A}] SEQPACKET 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{121729E9-8CED-40AB-9CA1-A928A461145A}] DATAGRAM 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{6A31BDAC-511D-4A1B-857B-DDE76D155F38}] SEQPACKET 4
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{6A31BDAC-511D-4A1B-857B-DDE76D155F38}] DATAGRAM 4
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E1F5B1F1-C33B-4946-A81D-BCFC09C93E86}] SEQPACKET 5
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E1F5B1F1-C33B-4946-A81D-BCFC09C93E86}] DATAGRAM 5


**** Blocked Control Panel Items ****

BLOCKED: [ncpa.cpl] No
BLOCKED: [odbccp32.cpl] No


**** Downloaded Program Files ****

{8AD9C840-044E-11D1-B3E9-00805F499D93} [http://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab]
{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA} [http://java.sun.com/products/plugin/1.3.1/jinstall-131_01-win.cab]
{CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} [http://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab]
{CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} [http://java.sun.com/update/1.5.0/jinstall-1_5_0_01-windows-i586.cab]
{CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} [http://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab]
{D27CDB6E-AE6D-11CF-96B8-444553540000} [http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab]


**** Windows Services ****

[Alerter] %SystemRoot%\system32\svchost.exe -k LocalService
[ALG] %SystemRoot%\System32\alg.exe
[AntiVirService] "C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"
[AOL ACS] "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe"
[AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs
[AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[AVWUpSrv] "C:\Programme\AVPersonal\AVWUPSRV.EXE"
[BITS] %SystemRoot%\system32\svchost.exe -k netsvcs
[Browser] %SystemRoot%\system32\svchost.exe -k netsvcs
[CiSvc] %SystemRoot%\system32\cisvc.exe
[ClipSrv] %SystemRoot%\system32\clipsrv.exe
[COMSysApp] C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
[CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[DcomLaunch] %SystemRoot%\system32\svchost -k DcomLaunch
[Dhcp] %SystemRoot%\system32\svchost.exe -k netsvcs
[dmadmin] %SystemRoot%\System32\dmadmin.exe /com
[dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs
[Dnscache] %SystemRoot%\system32\svchost.exe -k NetworkService
[ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[Eventlog] %SystemRoot%\system32\services.exe
[EventSystem] C:\WINDOWS\system32\svchost.exe -k netsvcs
[FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs
[helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs
[HTTPFilter] %SystemRoot%\System32\svchost.exe -k HTTPFilter
[IDriverT] "C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe"
[ImapiService] C:\WINDOWS\system32\imapi.exe
[iPodService] C:\Programme\iPod\bin\iPodService.exe
[lanmanserver] %SystemRoot%\system32\svchost.exe -k netsvcs
[lanmanworkstation] %SystemRoot%\system32\svchost.exe -k netsvcs
[LmHosts] %SystemRoot%\system32\svchost.exe -k LocalService
[Messenger] %SystemRoot%\system32\svchost.exe -k netsvcs
[mnmsrvc] C:\WINDOWS\system32\mnmsrvc.exe
[MSDTC] C:\WINDOWS\system32\msdtc.exe
[MSIServer] C:\WINDOWS\system32\msiexec.exe /V
[NetDDE] %SystemRoot%\system32\netdde.exe
[NetDDEdsdm] %SystemRoot%\system32\netdde.exe
[Netlogon] %SystemRoot%\system32\lsass.exe
[Netman] %SystemRoot%\System32\svchost.exe -k netsvcs
[Nla] %SystemRoot%\system32\svchost.exe -k netsvcs
[NtLmSsp] %SystemRoot%\system32\lsass.exe
[NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[NVSvc] %SystemRoot%\system32\nvsvc32.exe
[PlugPlay] %SystemRoot%\system32\services.exe
[PolicyAgent] %SystemRoot%\system32\lsass.exe
[ProtectedStorage] %SystemRoot%\system32\lsass.exe
[RasAuto] %SystemRoot%\system32\svchost.exe -k netsvcs
[RasMan] %SystemRoot%\system32\svchost.exe -k netsvcs
[RDSessMgr] C:\WINDOWS\system32\sessmgr.exe
[RemoteAccess] %SystemRoot%\system32\svchost.exe -k netsvcs
[RemoteRegistry] %SystemRoot%\system32\svchost.exe -k LocalService
[RpcLocator] %SystemRoot%\system32\locator.exe
[RpcSs] %SystemRoot%\system32\svchost -k rpcss
[RSVP] %SystemRoot%\system32\rsvp.exe
[SamSs] %SystemRoot%\system32\lsass.exe
[SCardSvr] %SystemRoot%\System32\SCardSvr.exe
[Schedule] %SystemRoot%\System32\svchost.exe -k netsvcs
[seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs
[SENS] %SystemRoot%\system32\svchost.exe -k netsvcs
[SharedAccess] %SystemRoot%\system32\svchost.exe -k netsvcs
[ShellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs
[SNDSrvc] 
[Spooler] %SystemRoot%\system32\spoolsv.exe
[srservice] %SystemRoot%\system32\svchost.exe -k netsvcs
[SSDPSRV] %SystemRoot%\system32\svchost.exe -k LocalService
[stisvc] %SystemRoot%\system32\svchost.exe -k imgsvc
[SwPrv] C:\WINDOWS\system32\dllhost.exe /Processid:{94728119-A6F1-4DF3-81E7-0202841D2855}
[SysmonLog] %SystemRoot%\system32\smlogsvc.exe
[TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[TermService] %SystemRoot%\System32\svchost -k DComLaunch
[Themes] %SystemRoot%\System32\svchost.exe -k netsvcs
[TlntSvr] C:\WINDOWS\system32\tlntsvr.exe
[TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs
[upnphost] %SystemRoot%\system32\svchost.exe -k LocalService
[UPS] %SystemRoot%\System32\ups.exe
[VSS] %SystemRoot%\System32\vssvc.exe
[W32Time] %SystemRoot%\System32\svchost.exe -k netsvcs
[WebClient] %SystemRoot%\system32\svchost.exe -k LocalService
[winmgmt] %systemroot%\system32\svchost.exe -k netsvcs
[WmdmPmSN] %SystemRoot%\System32\svchost.exe -k netsvcs
[Wmi] %SystemRoot%\System32\svchost.exe -k netsvcs
[WmiApSrv] C:\WINDOWS\system32\wbem\wmiapsrv.exe
[wscsvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[wuauserv] %systemroot%\system32\svchost.exe -k netsvcs
[WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs
[xmlprov] %SystemRoot%\System32\svchost.exe -k netsvcs


**** Custom IE Search Items ****

SEARCH: [SearchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm


**** Complete IE Options ****

IEOPT: [NoUpdateCheck] 
IEOPT: [NoJITSetup] 
IEOPT: [Disable Script Debugger] yes
IEOPT: [Show_ChannelBand] No
IEOPT: [Anchor Underline] yes
IEOPT: [Cache_Update_Frequency] Once_Per_Session
IEOPT: [Display Inline Images] yes
IEOPT: [Do404Search] 
IEOPT: [Local Page] C:\WINDOWS\system32\blank.htm
IEOPT: [Save_Session_History_On_Exit] no
IEOPT: [Show_FullURL] no
IEOPT: [Show_StatusBar] yes
IEOPT: [Show_ToolBar] yes
IEOPT: [Show_URLinStatusBar] yes
IEOPT: [Show_URLToolBar] yes
IEOPT: [Start Page] http://www.google.com/
IEOPT: [Use_DlgBox_Colors] yes
IEOPT: [Search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
IEOPT: [FullScreen] no
IEOPT: [Window_Placement] ,
IEOPT: [StatusBarOther] 
IEOPT: [Use FormSuggest] yes
IEOPT: [NotifyDownloadComplete] yes
IEOPT: [ShowedCheckBrowser] Yes
IEOPT: [Check_Associations] No
IEOPT: [Use Custom Search URL] 
IEOPT: [Enable Browser Extensions] yes
IEOPT: [Default_Page_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
IEOPT: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
IEOPT: [Search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
IEOPT: [Enable_Disk_Cache] yes
IEOPT: [Cache_Percent_of_Disk] 
IEOPT: [Delete_Temp_Files_On_Exit] yes
IEOPT: [Local Page] %SystemRoot%\system32\blank.htm
IEOPT: [Anchor_Visitation_Horizon] 
IEOPT: [Use_Async_DNS] yes
IEOPT: [Placeholder_Width] 
IEOPT: [Placeholder_Height] 
IEOPT: [Start Page] http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
IEOPT: [CompanyName] Microsoft Corporation
IEOPT: [Custom_Key] MICROSO
IEOPT: [Wizard_Version] 6.0.2600.0000
IEOPT: [FullScreen] no
System:
EVGA nforce 680i SLI
EVGA geforce 8800GTX
Intel core2duo E6600
Corsair 2GB 6400C4Pro
PowerLine 600Watt

tyco

Bitte keine Supportanfragen per PM stellen.

Lsp!

Logfile of HijackThis v1.99.1
Scan saved at 14:19:55, on 15.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Winamp\winamp.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Dokumente und Einstellungen\Nico\Desktop\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

O1 - Hosts: m
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [TSDAT32 Loader] C:\WINDOWS\system32\tsdat32.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{35571D6D-76E1-4484-BCD0-22EC04357222}: NameServer = 192.168.2.1
O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\enr6l19s1.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
System:
EVGA nforce 680i SLI
EVGA geforce 8800GTX
Intel core2duo E6600
Corsair 2GB 6400C4Pro
PowerLine 600Watt

tyco

Starte Hijackthis mal im abgesicherten Modus (F8 beim Booten drücken) und fixe folgendes:

O1 - Hosts: m

O4 - HKCU\..\Run: [TSDAT32 Loader] C:\WINDOWS\system32\tsdat32.exe

O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\enr6l19s1.dll

Dann löscht Du im abgesicherten Modus die Dateien

C:\WINDOWS\system32\tsdat32.exe

und

C:\WINDOWS\system32\enr6l19s1.dll

Vor dem nächsten Neustart leerst Du noch den Papierkorb.
Bitte keine Supportanfragen per PM stellen.

Lsp!

habs genau so gemacht wie du es gesagt hast im abgesicherten modus die file
mit HiJackThis gefixt und gelöscht! papierkorb hab ich auch gelehrt und die
fester offnen sich immer noch  :'(

So sieht mein logfile jetzt aus:

Logfile of HijackThis v1.99.1
Scan saved at 16:26:24, on 15.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp\winamp.exe
C:\Dokumente und Einstellungen\Nico\Desktop\Neuer Ordner\HijackThis.exe

O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O17 - HKLM\System\CCS\Services\Tcpip\..\{35571D6D-76E1-4484-BCD0-22EC04357222}: NameServer = 192.168.2.1
O20 - Winlogon Notify: DateTime - C:\WINDOWS\system32\s088lalu1dq8.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
System:
EVGA nforce 680i SLI
EVGA geforce 8800GTX
Intel core2duo E6600
Corsair 2GB 6400C4Pro
PowerLine 600Watt

tyco

Zitat von: LSP_181,2 am 15. November 2005, 16:27:08 Uhr

O20 - Winlogon Notify: DateTime - C:\WINDOWS\system32\s088lalu1dq8.dll


Du hast eine Look2Me Infizierung die den Windows Anmeldungsschlüssel benutzt und daher nicht so einfach zu entfernen ist.

ZitierenLook2Me
Kurzbeschreibung:
Look2Me ist eine Spyware, die Surfaktivitäten überwacht und an einen zentralen Server darüber statistische Berichte zurücksendet. Es kann auch Pop-up Werbung anzeigen und einige andere Teile von Spyware installieren.
• Charakteristika:
Einmal installiert kann Look2Me sich selbst updaten und andere Anwendungen installieren. Diese sind gewöhnlich andere Teile von Spyware. Look2Me kann Programme Dritter ohne Ihr Wissen und Ihre Zustimmung auf Ihren Computer laden.
• Installationsmethode:
Look2Me wird gewöhnlich via ActiveX Drive-by Downloadseiten oder durch Schwachstellen in normalen Webanwendungen installiert.
• Konsequenzen:
Look2Me ist sehr schwer zu entfernen wegen seiner Einlagerung in Systemlevel Prozessen. Look2Me kann auch andere Teile von Spyware und Adware installieren, die die Performance Ihres Computers herabsetzen, und kann Pop-up Werbung anzeigen.
• Zusätzliches Detail:
Look2Me ist eine neue Art von Spyware, die aufs Internet losgelassen wurde. Look2Me installiert sich selbst ins Windows System Directory und platziert einen einfachen Registry Key in die Winlogon Benachrichtigungsabteilung, der aus der installierten Komponente einen Ableger des Winlogon Systemlevel Prozesses macht. Dann legt es eine .dll unter explorer.exe ab, die ihm die Fähigkeit zur Ausführung gibt. Diese bösartige Spyware hat die Fähigkeit, den Computer zu rebooten, wenn versucht wird, eine seiner Basisausführungen zu entfernen, und es verändert das lokale Sicherheitsverhalten des Debug Programms auf Windows XP Computern, schränkt die Funktionsfähigkeit von Aufspürprogrammen ein. Look2Me ist auch mit einer Eigentumsverschlüsselungsalgorithmus verschlüsselt, der On-disk Entdeckung sehr schwierig macht, besonders, weil seine Fähigkeit, sich selbst blitzschnell upzudaten, zu unzähligen installierten Versionen führt. Es installiert auch andere Teile von Spyware, verursacht eine Masseninfektion und ein großes Problem auf der infizierten Usermaschine.

Quelle: http://www.virenschutz.info/Look2Me-Spyware-Tutorials-28.html

Das einfachste und sicherste ist eine Neuinstallation. Vorher könntest Du noch Spybot S&D und den CWShredder ausprobieren (natürlich im abgesicherten Modus). Obwohl ich da keine große Hoffnung habe.

Falls Du es manuell entfernen willst dann gib nochmal Bescheid.
Bitte keine Supportanfragen per PM stellen.

Lsp!

15. November 2005, 17:26:14 Uhr #15 Letzte Bearbeitung: 15. November 2005, 17:28:45 Uhr von LSP_181,2
Ich glaub ich hab es geschafft, hab im abgesicherten Modus
alle Dateien die in den letzten paar tagen entstanden sind aus
dem system32 Ordner gelöscht!
hab mir gedacht wenn da was schief geht inst. ich einfach neu!
und nun ist so ein fester schon über ne halbe stunde nicht
gekommen! will hoffen das dass alles gut geht!
aber neu insl. werde ich trotzdem in den nexten tagen mal wenn
ich zeit und Lust hab!

!!!!!!!!!!!!!!Mega Danke an tyco und allen anderen!!!!!!!!!!!!!!!

Einfach Perfekt so ein Forum
System:
EVGA nforce 680i SLI
EVGA geforce 8800GTX
Intel core2duo E6600
Corsair 2GB 6400C4Pro
PowerLine 600Watt

Lsp!

System:
EVGA nforce 680i SLI
EVGA geforce 8800GTX
Intel core2duo E6600
Corsair 2GB 6400C4Pro
PowerLine 600Watt