Security2K hijacker und trojan-downloader-zlob

Begonnen von BeAlJo, 29. Oktober 2006, 11:39:29 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

BeAlJo

 Spy Sweeper meldet mir Security2K hijacker in HKLM\software\microsoft\currentversion\policies\explorer\run nvctrl.exe
und zusätzlich den trojan-downloader-zlob in kernel32.dll; wininet.dll; pmsngr.exe

HJT sagt mir dies:

Logfile of HijackThis v1.99.1
Scan saved at 11:34:12, on 29.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\saphirsb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\soundman.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\Programme\Webroot\Spy Sweeper\SSU.EXE
C:\Dokumente und Einstellungen\Bernhard\Eigene Dateien\Downloads\hijackthis_199\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.2.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [AVG7_CC] "C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [WorksFUD] "C:\Programme\Microsoft Works\wkfud.exe"
O4 - HKLM\..\Run: [Microsoft Works Portfolio] "C:\Programme\Microsoft Works\WksSb.exe" /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [U.S. Robotics Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [mmtask] "C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NVIEW] "rundll32.exe" nview.dll,nViewLoadHook
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup:  Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116409457572
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Saphir_StandbyXP - HST High Soft Tech GmbH - C:\WINDOWS\system32\saphirsb.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
O23 - Service: U.S. Robotics Wireless LAN Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

Wo stecken die beiden und wie werd ich sie wieder los???

Dank für Tips und Hilfe!

Bernhard

American

Das Hijacthislogfile ist Sauber.

Such doch mal im Explorer nach der Datei nvctrl.exe, ob Sie überhaupt da ist.

Könntest folgendes Fixen, bedeutet aber nur das die Datei nicht da ist, deswegen kannste das Fixen:

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)

Das Leben ist ein Geschenk, aber keiner hat mich gefragt, ob ich das Geschenk haben will.
Wenn dich einer fragt, ob du es haben willst, dann nimm es, fang von Vorne an und mach was draus.

Jede Beziehung geht mal durch eine Kriese. Wenn du das nicht kennst, dann weisst Du nicht was Liebe ist!


Dafür das Kinder auch Kinder sein dürfen

BeAlJo

hab nvctrl.exe nicht (mehr?) gefunden - wieso und wo sieht denn denn der SpySweeper da noch Spuren und wie putz ich die weg?

TMK

Hi,

infos gibt es hier unter erweitert:

http://www.sophos.de/security/analyses/trojzlobbc.html


gandal

Hast Du diese Dateien (kernel32.dll; wininet.dll; pmsngr.exe) schon mal mit einem Online-Scanner geprüft ?
Das kannst Du z.B. hier machen: http://virusscan.jotti.org/
         
Real Programmers code in binary

BeAlJo

29. Oktober 2006, 14:58:21 Uhr #5 Letzte Bearbeitung: 29. Oktober 2006, 15:40:56 Uhr von BeAlJo
jotti ist toll und sagt: alle drei - die pmsngr.exe habe ich nur als prefetch gefunden - sind OK

p.s. hab mich jetzt erstmals mit regedit getraut all die spuren, auf die spysweper noch hinwies direkt zu putzen - und der rechner läut sogar noch ;)

danke gandal!

Scorab

sorry aber ich hab das nich gecheckt mit dem regedit. mein pc läuft rund, bin froh noch posten zu können bevor er mir stirbt. hatte mit sowas noch nie zu tun, kann mir vll. jemand ne genaue "wegbeschreibung" machen wie ich meinen pc wieder zum laufen bringe?

das hat mir spy sweeper geschrieben:

23:40: |···  Beginn der Sitzung, Dienstag, 7. November 2006  ···|
23:40: Spy Sweeper gestartet
23:40: Suchvorgang unter Verwendung der Definitionsversion eingeleitet. 796
23:40: Gefunden Trojan Horse: trojan-downloader-zlob
23:40: HKLM\software\microsoft\windows\currentversion\policies\explorer\run\ || kernel32.dll (ID = 1052560)
23:40: isnotify.exe (ID = 1052560)
23:40: Gefunden Adware: security2k hijacker
23:40: HKLM\software\microsoft\windows\currentversion\policies\explorer\run\ || issearch.exe (ID = 1512087)
23:40: issearch.exe (ID = 1512087)
23:40: HKLM\software\microsoft\windows\currentversion\policies\explorer\run\ || ishost.exe (ID = 1572185)
23:40: ishost.exe (ID = 1572185)
23:40: Suchvorgang im Arbeitspeicher wird gestartet
23:43: Suchvorgang im Arbeitspeicher abgeschlossen, Dauer: 00:03:38
23:43: Suchvorgang in Registrierung wird gestartet
23:43:   HKLM\software\microsoft\windows\currentversion\policies\explorer\run\ || kernel32.dll (ID = 796421)
23:43:   HKLM\software\microsoft\windows\currentversion\policies\explorer\run\ || issearch.exe (ID = 1572301)
23:43:   HKLM\software\microsoft\windows\currentversion\policies\explorer\run\ || ishost.exe (ID = 1572302)
23:43:   HKLM\software\microsoft\windows\currentversion\uninstall\safety alerter 2006\  (2 Teilspuren) (ID = 1619495)
23:43:   Gefunden Adware: purityscan
23:43:   HKLM\software\microsoft\windows\currentversion\uninstall\yazzle1162oin\  (2 Teilspuren) (ID = 1738184)
23:43:   Gefunden Adware: virtumonde
23:43:   HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\ddcca\  (5 Teilspuren) (ID = 1765390)
23:43:   Gefunden Trojan Horse: trojan agent winlogonhook
23:43:   HKLM\software\microsoft\mssmgr\  (12 Teilspuren) (ID = 1776755)
23:43:   Gefunden Adware: amaena.com fakealert
23:43:   HKLM\software\microsoft\windows\currentversion\run\ || ctdrive (ID = 1823426)
23:43:   Gefunden Adware: virusburst
23:43:   HKCR\clsid\{6a66cc28-f0a2-fcbc-d3d5-1ea3001ed26a}\  (35 Teilspuren) (ID = 1825660)
23:43:   HKCR\typelib\{acf3dab0-d308-4b7a-bfe3-e6c0fafeb1e7}\  (9 Teilspuren) (ID = 1825686)
23:43:   HKLM\software\classes\clsid\{6a66cc28-f0a2-fcbc-d3d5-1ea3001ed26a}\  (35 Teilspuren) (ID = 1825741)
23:43:   HKLM\software\classes\typelib\{acf3dab0-d308-4b7a-bfe3-e6c0fafeb1e7}\  (9 Teilspuren) (ID = 1825767)
23:43: Suchvorgang in Registrierung abgeschlossen, Dauer:00:00:06
23:43: Suchvorgang in Cookies wird gestartet
23:43:   Gefunden Spy Cookie: 2o7.net cookie
23:43:   scorab104@2o7[1].txt (ID = 1958)
23:43:   Gefunden Spy Cookie: yieldmanager cookie
23:43:   scorab104@ad.yieldmanager[1].txt (ID = 3751)
23:43:   Gefunden Spy Cookie: adrevolver cookie
23:43:   scorab104@adrevolver[1].txt (ID = 2089)
23:43:   Gefunden Spy Cookie: pointroll cookie
23:43:   scorab104@ads.pointroll[2].txt (ID = 3148)
23:43:   Gefunden Spy Cookie: adtech cookie
23:43:   scorab104@adtech[2].txt (ID = 2156)
23:43:   Gefunden Spy Cookie: advertising cookie
23:43:   scorab104@advertising[1].txt (ID = 2176)
23:43:   Gefunden Spy Cookie: apmebf cookie
23:43:   scorab104@apmebf[2].txt (ID = 2230)
23:43:   Gefunden Spy Cookie: falkag cookie
23:43:   scorab104@as-eu.falkag[2].txt (ID = 2650)
23:43:   scorab104@as1.falkag[1].txt (ID = 2650)
23:43:   Gefunden Spy Cookie: ask cookie
23:43:   scorab104@ask[1].txt (ID = 2246)
23:43:   Gefunden Spy Cookie: atlas dmt cookie
23:43:   scorab104@atdmt[2].txt (ID = 2254)
23:43:   Gefunden Spy Cookie: atwola cookie
23:43:   scorab104@atwola[1].txt (ID = 2256)
23:43:   Gefunden Spy Cookie: bluemountain cookie
23:43:   scorab104@bluemountain[2].txt (ID = 2313)
23:43:   Gefunden Spy Cookie: casalemedia cookie
23:43:   scorab104@casalemedia[2].txt (ID = 2355)
23:43:   Gefunden Spy Cookie: gamespy cookie
23:43:   scorab104@gamespy[1].txt (ID = 2719)
23:43:   Gefunden Spy Cookie: touchclarity cookie
23:43:   scorab104@gm.touchclarity[1].txt (ID = 3566)
23:43:   Gefunden Spy Cookie: webtrends cookie
23:43:   scorab104@m.webtrends[2].txt (ID = 3669)
23:43:   Gefunden Spy Cookie: malwarewipe cookie
23:43:   scorab104@malwarewipe[1].txt (ID = 6468)
23:43:   Gefunden Spy Cookie: maxserving cookie
23:43:   scorab104@maxserving[1].txt (ID = 2967)
23:43:   Gefunden Spy Cookie: mediaplex cookie
23:43:   scorab104@mediaplex[2].txt (ID = 6443)
23:43:   scorab104@msnportal.112.2o7[1].txt (ID = 1958)
23:43:   Gefunden Spy Cookie: mywebsearch cookie
23:43:   scorab104@mywebsearch[1].txt (ID = 3052)
23:43:   scorab104@netgear.122.2o7[1].txt (ID = 1958)
23:43:   Gefunden Spy Cookie: overture cookie
23:43:   scorab104@overture[1].txt (ID = 3106)
23:43:   Gefunden Spy Cookie: questionmarket cookie
23:43:   scorab104@questionmarket[1].txt (ID = 3218)
23:43:   Gefunden Spy Cookie: rambler cookie
23:43:   scorab104@rambler[2].txt (ID = 3226)
23:43:   Gefunden Spy Cookie: serving-sys cookie
23:43:   scorab104@serving-sys[1].txt (ID = 3344)
23:43:   Gefunden Spy Cookie: servlet cookie
23:43:   scorab104@servlet[1].txt (ID = 3346)
23:43:   Gefunden Spy Cookie: statcounter cookie
23:43:   scorab104@statcounter[2].txt (ID = 3448)
23:43:   Gefunden Spy Cookie: reliablestats cookie
23:43:   scorab104@stats1.reliablestats[1].txt (ID = 3254)
23:43:   Gefunden Spy Cookie: tradedoubler cookie
23:43:   scorab104@tradedoubler[1].txt (ID = 3576)
23:43:   Gefunden Spy Cookie: tribalfusion cookie
23:43:   scorab104@tribalfusion[1].txt (ID = 3590)
23:43:   Gefunden Spy Cookie: burstnet cookie
23:43:   scorab104@www.burstnet[2].txt (ID = 2337)
23:43:   Gefunden Spy Cookie: winantiviruspro cookie
23:43:   scorab104@www.winantiviruspro[2].txt (ID = 3690)
23:43:   jenny@2o7[2].txt (ID = 1958)
23:43:   jenny@adtech[1].txt (ID = 2156)
23:43:   jenny@advertising[2].txt (ID = 2176)
23:43:   jenny@as-eu.falkag[1].txt (ID = 2650)
23:43:   jenny@as1.falkag[1].txt (ID = 2650)
23:43:   jenny@atdmt[1].txt (ID = 2254)
23:43:   jenny@atwola[1].txt (ID = 2256)
23:43:   jenny@casalemedia[1].txt (ID = 2355)
23:43:   jenny@gm.touchclarity[1].txt (ID = 3566)
23:43:   jenny@m.webtrends[2].txt (ID = 3669)
23:43:   jenny@maxserving[1].txt (ID = 2967)
23:43:   jenny@mediaplex[1].txt (ID = 6443)
23:43:   jenny@msnportal.112.2o7[1].txt (ID = 1958)
23:43:   jenny@mywebsearch[1].txt (ID = 3052)
23:43:   jenny@questionmarket[1].txt (ID = 3218)
23:43:   jenny@rambler[2].txt (ID = 3226)
23:43:   jenny@servlet[1].txt (ID = 3346)
23:43: Suchvorgang in Cookies abgeschlossen, Dauer: 00:00:01
23:43: Suchvorgang in Dateien wird gestartet
23:44:   yazzle1162oinadmin.exe (ID = 381050)
23:44:   winf.tmp.exe (ID = 381038)
23:45:   Warnung: Failed to read file "c:\dokumente und einstellungen\scorab104\lokale einstellungen\temp\~df4b45.tmp". System Error.  Code: 32.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird
23:45: Suchvorgang in Dateien abgeschlossen, Dauer: 00:01:32
23:45: Die Vollsuche wurde abgeschlossen. Abgelaufene Zeit 00:05:21
23:45: Gefundene Spuren: 180
23:48: Löschvorgang eingeleitet
23:48:   Alle Spuren werden isoliert: trojan-downloader-zlob
23:48:   trojan-downloader-zlob wird verwendet. Wird bei Neustart gelöscht.
23:48:     isnotify.exe wird verwendet. Wird bei Neustart gelöscht.
23:48:   Alle Spuren werden isoliert: security2k hijacker
23:48:   Alle Spuren werden isoliert: purityscan
23:48:   Alle Spuren werden isoliert: virtumonde
23:48:   Alle Spuren werden isoliert: trojan agent winlogonhook
23:48:   Alle Spuren werden isoliert: amaena.com fakealert
23:48:   Alle Spuren werden isoliert: virusburst
23:48:   Alle Spuren werden isoliert: 2o7.net cookie
23:48:   Alle Spuren werden isoliert: yieldmanager cookie
23:48:   Alle Spuren werden isoliert: adrevolver cookie
23:48:   Alle Spuren werden isoliert: pointroll cookie
23:48:   Alle Spuren werden isoliert: adtech cookie
23:48:   Alle Spuren werden isoliert: advertising cookie
23:48:   Alle Spuren werden isoliert: apmebf cookie
23:48:   Alle Spuren werden isoliert: falkag cookie
23:48:   Alle Spuren werden isoliert: ask cookie
23:48:   Alle Spuren werden isoliert: atlas dmt cookie
23:48:   Alle Spuren werden isoliert: atwola cookie
23:48:   Alle Spuren werden isoliert: bluemountain cookie
23:48:   Alle Spuren werden isoliert: casalemedia cookie
23:48:   Alle Spuren werden isoliert: gamespy cookie
23:48:   Alle Spuren werden isoliert: touchclarity cookie
23:48:   Alle Spuren werden isoliert: webtrends cookie
23:48:   Alle Spuren werden isoliert: malwarewipe cookie
23:48:   Alle Spuren werden isoliert: maxserving cookie
23:48:   Alle Spuren werden isoliert: mediaplex cookie
23:48:   Alle Spuren werden isoliert: mywebsearch cookie
23:48:   Alle Spuren werden isoliert: overture cookie
23:48:   Alle Spuren werden isoliert: questionmarket cookie
23:48:   Alle Spuren werden isoliert: rambler cookie
23:48:   Alle Spuren werden isoliert: serving-sys cookie
23:48:   Alle Spuren werden isoliert: servlet cookie
23:48:   Alle Spuren werden isoliert: statcounter cookie
23:48:   Alle Spuren werden isoliert: reliablestats cookie
23:48:   Alle Spuren werden isoliert: tradedoubler cookie
23:48:   Alle Spuren werden isoliert: tribalfusion cookie
23:48:   Alle Spuren werden isoliert: burstnet cookie
23:48:   Alle Spuren werden isoliert: winantiviruspro cookie
23:48:   Der Neustart des Computers wird vorbereitet. Bitte warten...
23:48: Löschvorgang abgeschlossen. Abgelaufene Zeit 00:00:32
********
23:39: |···  Beginn der Sitzung, Dienstag, 7. November 2006  ···|
23:39: Spy Sweeper gestartet
23:39: Ihre Spyware-Definitionen wurden aktualisiert.
23:40: |···  Ende der Sitzung, Dienstag, 7. November 2006  ···|


zwar steht da überall was von isoliert und vernichtet aber es kommt immerwieder das gleiche..  hülfe?

tyco

Zitat von: Scorab am 08. November 2006, 01:59:40 Uhr
...zwar steht da überall was von isoliert und vernichtet aber es kommt immerwieder das gleiche..  hülfe?

Poste Dein HijackThis.log (http://www.merijn.org/programs.php#hijackthis).
Bitte keine Supportanfragen per PM stellen.

Scorab

na sicher sorry*g*


Logfile of HijackThis v1.99.1
Scan saved at 15:36:48, on 10.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Acer\Acer eConsole\MediaServerService.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Program Files\Acer TV-FM\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer TV-FM\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Acer TV-FM\Kernel\TV\CLSched.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\WINDOWS\explorer.exe
D:\Icq\ICQLite.exe
C:\Programme\Symantec\LiveUpdate\AUpdate.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\WINDOWS\system32\macromed\flash\GetFlash.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
D:\anti\Neuer Ordner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ntiMUI] c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
O4 - HKLM\..\Run: [AspireService] C:\Programme\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [MediaSync] C:\Programme\Acer\Acer eConsole\MediaSync.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer TV-FM\PCMService.exe"
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Icq\ICQLite.exe -trayboot
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Acer WLAN 11g USB Dongle.lnk = C:\Programme\Acer WLAN 11g USB Dongle\ZDWlan.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Icq\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Icq\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O23 - Service: Acer Media Server - Acer Inc. - C:\Programme\Acer\Acer eConsole\MediaServerService.exe
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer TV-FM\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer TV-FM\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer TV-FM\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


tyco

Fixe das  ActiveX-Objekt im abgesicherten Modus:

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab

Zudem solltest Du SpywareBlaster (http://www.javacoolsoftware.com/spywareblaster.html) installieren.

AdAware SE und Spybot S&D empfehle ich Dir auch.
Bitte keine Supportanfragen per PM stellen.

Scorab

fixn? sorry kenn mich net aus. ereklärst es mir bitte?*schähm*

gandal

Links sind Checkboxen. Bei dem von Tyco genannten Eintrag mußt Du in die Checkbox links daneben den Hacken machen.
Dann kannst Du unten auf den Button   Fix checked   klicken.
         
Real Programmers code in binary