wärend dem surfen offnet sich ständig pop up fenster Strip pocker

tyco · 19. Dezember 2004, 15:31:35 Uhr

Zitat von: Teufeli am 19. Dezember 2004, 15:20:05 Uhr
hmmm... der Aufruf ist nirgends zu finden.
Ich habe jetzt services.msc, msconfig und mit regedit die RUNONCE und RUN überprüft. Nirgendwo ist was zu sehen.

Auch nicht in der HijackThis.log?

Schau auch mal nach den anderen Dateien - die ich nachträglich noch gepostet habe - und verschiebe sie in den Böse-Ordner.

Guy_with_Problem · 31. Dezember 2004, 12:23:20 Uhr

Habe das gleiche Problem mit diesem Trojaner. Habe nun Ad-Awarwe, Spybot, Hijackthis und CW-Shredder duchlaufen lassen und alle verdächtigen Einträge gelöscht. Jedoch sind einige verdächtige Dateien nach jedem Systemneustart wieder vorhanden, z.B: eine 302.exe im System32-Ordner (ein Dialer), winuptd.exe und eine wpa.dbl.

Ach ja, ich würde noch gern wissen, wie ich den Internet Explorer möglichst komplett deinstalllieren kann, da ich mir Firefox zugelegt habe und nun den "verseuchten" IE nicht mehr auf meinem Rechner haben will. Ich habe es schon über Systemsteuerung>Software>Windowskomponenten hinzufügen/entfernen versucht, war aber eher weniger erfolgreich...

HijackThis

HLogfile of HijackThis v1.99.0
Scan saved at 11:53:36, on 31.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Telekom\Eumex 604PC HomeNet\Capictrl.exe
C:\Programme\Microsoft Encarta\Encarta Enzyklopädie Professional 2003\EDICT.EXE
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Username\Desktop\Anti-Spy-Software\HijackThis.exe

O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk (file missing)
O9 - Extra 'Tools' menuitem: Translator - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O20 - AppInit_DLLs: ,
O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Machine Debug Manager - Unknown - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

CW-Shredder

Done!
Your system was completely clean.

Windows XP (5.01.2600 )
CWShredder v1.59.0
Written by Merijn - merijn@spywareinfo.com

For any additional help with this program or removing CWS, visit:
http://forums.spywareinfo.com/

For information and documentation on the Coolwebsearch
trojan and its variants, visit:
http://www.spywareinfo.com/~merijn/cwschronicles.html

For donations to help support CWShredder, visit:
http://www.spywareinfo.com/~merijn/donate.html

Wie soll ich weiter verfahren?

tyco · 31. Dezember 2004, 12:49:48 Uhr

Starte mal im abgesicherten Modus und verschiebe (nicht kopieren) folgende Dateien (falls sie vorhanden sind) in einen neuen Ordner C:\Boese:

msop.dll
FNTCACHE.DAT
pentxpl.exe
hdkj.dll
date.dat
menu.txt
iecust.dll
iecust.exe
opencont.exe
unlodctl.exe
nlsfuncs.exe
dx9vbc.dll
taskopen.exe
qappsrvc32.exe
dnsauth.dll
msqr.dll
"service.exe" (nicht services.exe)
"msacmx.dll"
"d3dxov.dll"
"winsrv32.dll"
"ieûnit.exe"
"ipxroutex.exe"
"rdshost32.exe"
"rshe.exe"
"net2.exe"
"mqsvch.exe"
"dllhostxp.exe"
"extrac16.exe"
"mqbckup.exe"
"pxhping.exe"
"rdpnr.exe"
"slservc.exe"
"clfmon.exe" (nicht ctfmon.exe)
"hdr.dll"
"usb.dll"
"adsnp.dll"
"cdrview.dll"
"comctrl32.dll"
"msswch.exe"
"netddx.exe"
"spoolsrv.exe"

Deine 302.exe und winuptd.exe ebenfalls verschieben. Die wpa.dbl gehört zu Windows (Windows-Produkt-Aktivierung). Diese Datei nicht verschieben.

Guy_with_Problem · 31. Dezember 2004, 13:12:00 Uhr

Die ganzen Dateien, die du mir auflistest, befnden sich nicht auf meiner Festplatte.

Zitat von: Guy_with_Problem am 31. Dezember 2004, 12:23:20 Uhr
Ach ja, ich würde noch gern wissen, wie ich den Internet Explorer möglichst komplett deinstalllieren kann, da ich mir Firefox zugelegt habe und nun den "verseuchten" IE nicht mehr auf meinem Rechner haben will. Ich habe es schon über Systemsteuerung>Software>Windowskomponenten hinzufügen/entfernen versucht, war aber eher weniger erfolgreich...

Kannst du mir da weiterhelfen?

tyco · 31. Dezember 2004, 13:22:48 Uhr

Aber die 302.exe und diese komische winuptd.exe kannst Du doch im abgesicherten Modus verschieben.

Den IE zu entfernen ist fast unmöglich...zumindest ist das nicht so ganz einfach. Ich würde den IE auch nicht deinstallieren. Du brauchst ihn schliesslich für das WindowsUpdate.

Guy_with_Problem · 31. Dezember 2004, 13:36:21 Uhr

Diese 302.exe und diese winuptd.exe habe ich gelöscht, da ich mir da sicher war, dass sie nichts mit dem System zu tun haben.

Naja, also dass ich den IE nicht deinstallieren kann, ist ja wohl echt kacke. Mir würde es reichen, für Updates ihn mal schnell zu installieren und wieder zu deinstallieren, aber es kann ja wohl nicht sein, dass man diesen Browser nicht deinstallieren kann...

tyco · 31. Dezember 2004, 13:41:27 Uhr

Den IE kann man schon deinstallieren, zumindest habe ich mal eine Anleitung dazu gelesen. Ist aber eben nicht so einfach gemacht und ich müsste den Artikel - ist schon ne Zeit her - erstmal wieder finden.

Hat das Löschen der Datein denn Abhilfe gebracht mit den PopUps?

Guy_with_Problem · 31. Dezember 2004, 13:58:16 Uhr

Naja, ich benutze jetzt sowieso Firefox. Das Prob war ja beim IE.

Folgende Dateien finden sich nach jedem Systemneustart (3mal ausrpobiert) trotz Löschens wieder im System32-Ordner:

FNTCACHE.dat
wpa.dbl
winuptd.exe

HijackThis findet nun nichts Verdächtiges mehr.

Guy_with_Problem · 31. Dezember 2004, 17:22:51 Uhr

Hab mal eScan drüberlaufen lassen. Heftig, was der alles gefunden hat.

File C:\WINDOWS\System32\mstu.dll infected by "Trojan-Downloader.Win32.Agent.fy" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\taskopen.exe infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\qappsrvc32.exe infected by "Trojan-Proxy.Win32.Webber.m" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\mstu.dll infected by "Trojan-Downloader.Win32.Agent.fy" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\hdkj.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\pentxpl.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\dnsauth.dll infected by "Trojan-Proxy.Win32.Webber.m" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\qappsrvc32.exe infected by "Trojan-Proxy.Win32.Webber.m" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\taskopen.exe infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\dx9vbc.dll infected by "Trojan-Proxy.Win32.Webber.m" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\unlodctl.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\nlsfuncs.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\openconf.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\mstu.dll infected by "Trojan-Downloader.Win32.Agent.fy" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\hdkj.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\pentxpl.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\dnsauth.dll infected by "Trojan-Proxy.Win32.Webber.m" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\qappsrvc32.exe infected by "Trojan-Proxy.Win32.Webber.m" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\taskopen.exe infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\dx9vbc.dll infected by "Trojan-Proxy.Win32.Webber.m" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\unlodctl.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\nlsfuncs.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\openconf.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\gsda.dll tagged as not-a-virus:RiskWare.Downloader.SpyGame. No Action Taken.
File C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE infected by "not-a-virus:AdWare.Toolbar.MyWay.b" Virus. Action Taken: No Action Taken.
File C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL infected by "not-a-virus:AdWare.ToolBar.MyWay.g" Virus. Action Taken: No Action Taken.
File C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL infected by "not-a-virus:AdWare.ToolBar.MyWay.f" Virus. Action Taken: No Action Taken.
File C:\Q230903.exe infected by "TrojanDownloader.Win32.Pitux.a" Virus. Action Taken: No Action Taken.

omg...

bluemonkey · 03. Januar 2005, 15:27:17 Uhr

Hi zusammen,

ich hab ein aehnliches Problem, aber die 015 - Trusted Zone: http://*.63.219.181.7 hats nicht

Hier das Logfile, kann mir jemand weiterhelfen? Danke!

Logfile of HijackThis v1.99.0
Scan saved at 15:20:25, on 03.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\DATA CACHING\FLASHKSK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLDIAL.EXE
C:\PROGRAMME\AOL\AOL PRIVACY PROTECTION\AOLSP SCHEDULER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\0190 WARNER PRäSENTIERT VON AOL\WARN0190.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE
C:\PROGRAMME\AOL 9.0A\AOLTRAY.EXE
C:\PROGRAMME\OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\DIAMOND\INCONTROL TOOLS 99\DMHKEY.EXE
C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\BHODEMON 2\BHODEMON.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
C:\PROGRAMME\AOL 9.0A\WAOL.EXE
C:\PROGRAMME\AOL 9.0A\SHELLMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\AOLTPSPD.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DESKTOP\GEDOWNLOADED\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\PROGRAMME\CANON\EASY-WEBPRINT\TOOLBAND.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [DataCaching] C:\PROGRA~1\DATACA~1\FLashKsk.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [AOL Spyware Protection] "C:\PROGRA~1\AOL\AOLPRI~1\AOLSP Scheduler.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ipcfg.exe] C:\WINDOWS\SYSTEM\IPCFG.EXE
O4 - HKLM\..\Run: [scands32.exe] C:\WINDOWS\SYSTEM\SCANDS32.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [AolAcsDaemon1] "C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [WareOut] "C:\Programme\WareOut\WareOut.exe"
O4 - Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Office\Office\FINDFAST.EXE
O4 - Startup: InControl Desktop Manager.lnk = C:\Programme\Diamond\InControl Tools 99\DMHKEY.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe
O4 - Startup: TextBridge Instant Access OCR.lnk = C:\Programme\TextBridge Classic\Bin\TBMenu.exe
O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2\BHODemon.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_AddToList.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net

tyco · 03. Januar 2005, 15:38:25 Uhr

Folgenden Eintrag solltest Du mit HijackThis fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s

bluemonkey · 04. Januar 2005, 12:38:24 Uhr

Danke

.da · 04. Januar 2005, 16:13:53 Uhr

hatte den virus auch...
hab die angegebenen dateien verschonben, gescannt... nix. (vorher hats antivir erkannt und gelöscht, kam aber immer wieder)
Gerade anti-vir geupdated und plötzlich hat er ihn erkannt.

Meine .bat datei die ich zum verschieben der böhsen files gebastelt hab (für faule).
Ordner C:\Boehse\ MUSS vorher erstellt werden!

Code [Auswählen]

move C:\WINDOWS\system32\msop.dll C:\Boehse\
move C:\WINDOWS\system32\FNTCACHE.DAT C:\Boehse\
move C:\WINDOWS\system32\pentxpl.exe C:\Boehse\
move C:\WINDOWS\system32\hdkj.dll C:\Boehse\
move C:\WINDOWS\system32\date.dat C:\Boehse\
move C:\WINDOWS\system32\menu.txt C:\Boehse\
move C:\WINDOWS\system32\iecust.dll C:\Boehse\
move C:\WINDOWS\system32\iecust.exe C:\Boehse\
move C:\WINDOWS\system32\opencont.exe C:\Boehse\
move C:\WINDOWS\system32\unlodctl.exe C:\Boehse\
move C:\WINDOWS\system32\nlsfuncs.exe C:\Boehse\
move C:\WINDOWS\system32\dx9vbc.dll C:\Boehse\
move C:\WINDOWS\system32\taskopen.exe C:\Boehse\
move C:\WINDOWS\system32\qappsrvc32.exe C:\Boehse\
move C:\WINDOWS\system32\dnsauth.dll C:\Boehse\
move C:\WINDOWS\system32\msqr.dll C:\Boehse\
move C:\WINDOWS\system32\mvservice.exe C:\Boehse\
move C:\WINDOWS\system32\msacmx.dll C:\Boehse\
move C:\WINDOWS\system32\d3dxov.dll C:\Boehse\
move C:\WINDOWS\system32\winsrv32.dll C:\Boehse\
move C:\WINDOWS\system32\ieûnit.exe C:\Boehse\
move C:\WINDOWS\system32\ipxroutex.exe C:\Boehse\
move C:\WINDOWS\system32\rdshost32.exe C:\Boehse\
move C:\WINDOWS\system32\rshe.exe C:\Boehse\
move C:\WINDOWS\system32\net2.exe C:\Boehse\
move C:\WINDOWS\system32\mqsvch.exe C:\Boehse\
move C:\WINDOWS\system32\dllhostxp.exe C:\Boehse\
move C:\WINDOWS\system32\extrac16.exe C:\Boehse\
move C:\WINDOWS\system32\mqbckup.exe C:\Boehse\
move C:\WINDOWS\system32\pxhping.exe C:\Boehse\
move C:\WINDOWS\system32\rdpnr.exe C:\Boehse\
move C:\WINDOWS\system32\slservc.exe C:\Boehse\
move C:\WINDOWS\system32\clfmon.exe C:\Boehse\
move C:\WINDOWS\system32\hdr.dll C:\Boehse\
move C:\WINDOWS\system32\usb.dll C:\Boehse\
move C:\WINDOWS\system32\adsnp.dll C:\Boehse\
move C:\WINDOWS\system32\cdrview.dll C:\Boehse\
move C:\WINDOWS\system32\comctrl32.dll C:\Boehse\
move C:\WINDOWS\system32\msswch.exe C:\Boehse\
move C:\WINDOWS\system32\netddx.exe C:\Boehse\
move C:\WINDOWS\system32\spoolsrv.exe C:\Boehse\

bei mir wurden 9 dateien verschoben...
1 von anti-vir gekillt
1 windows fehlermeldung zu qappsrvc32.exe dass ein dienst nicht richtig gestartet werden konnte (war nicht eine der virenfiles)

habe aber leider nicht mitbekommen welche er gelöscht hat :/

granulatmann · 14. April 2005, 12:05:14 Uhr

hallo! da reihe ich mich wohl nahtlos ein:
Logfile of HijackThis v1.99.1
Scan saved at 11:51:11, on 14.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\qwinnta.exe
C:\WINDOWS\system32\sesmgr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\JIMBOP~1\LOKALE~1\Temp\Rar$EX00.306\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\JIMBOP~1\LOKALE~1\Temp\Rar$EX01.721\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SpyAntiware Class - {F74B358E-6979-40a9-96CD-636C80B87AFF} - C:\WINDOWS\system32\ash.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113346091477
O17 - HKLM\System\CCS\Services\Tcpip\..\{24E5458B-E263-42C4-A969-34F806F3C61E}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{24E5458B-E263-42C4-A969-34F806F3C61E}: NameServer = 69.50.176.156,195.225.176.31
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

Wäre nett, wenn ich hier hülfe finden würde...

TMK · 14. April 2005, 12:11:09 Uhr

Folgendes sollte gefixt werden:

C:\WINDOWS\system32\qwinnta.exe
C:\WINDOWS\system32\sesmgr.exe
O2 - BHO: SpyAntiware Class - {F74B358E-6979-40a9-96CD-636C80B87AFF} - C:\WINDOWS\system32\ash.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

..eventuell auch noch die folgenden 2 Einträge, sofern dir die IP-Adressen gänzlich unbekannt sind:

O17 - HKLM\System\CCS\Services\Tcpip\..\{24E5458B-E263-42C4-A969-34F806F3C61E}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{24E5458B-E263-42C4-A969-34F806F3C61E}: NameServer = 69.50.176.156,195.225.176.31

granulatmann · 14. April 2005, 12:33:51 Uhr

HijackThis konnte nur die letzten vier dateien entfernen. Die C:\windows\system32..... Geschichten wurden nicht als zu fixende Punkte ausgegeben, wo bzw. wie sind die zu fixen?

TMK · 14. April 2005, 12:37:13 Uhr

Welche Punkte meinst du genau?

granulatmann · 14. April 2005, 12:52:28 Uhr

ich meinte C:\WINDOWS\system32\qwinnta.exe ,sowie
C:\Windows\system32\sesmgr.exe
tschuldige erstmal, ich bin auch nicht so wirklich fit was rechner angeht...
habe jetzt nochmals hijackthis scannen lassen. liefere dir noch mal daslogfile mit... wenn du da noch was findest lass es mich wissen! ach ja und danke!
Logfile of HijackThis v1.99.1
Scan saved at 12:46:49, on 14.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\sesmgr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\JIMBOP~1\LOKALE~1\Temp\Rar$EX39.118\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113346091477
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

granulatmann · 14. April 2005, 14:00:47 Uhr

Ach ja... und antivir gibt immer noch die ominöse datei cax[1].cab an, die nicht gelöscht wird, da sie in einem archiv liegt... mannomann

konnte immer noch nicht die beiden oben genannten dateien finden... search and destroy hat auch noch einiges geplättet...

TMK · 14. April 2005, 15:03:00 Uhr

Diesen Eintrag im abgesicherten Modus noch fixen bzw. löschen:

C:\WINDOWS\system32\sesmgr.exe

...ansonsten sieht es jetzt schonmal ganz gut aus.

wärend dem surfen offnet sich ständig pop up fenster Strip pocker

19. Dezember 2004, 15:31:35 Uhr #60

Guy_with_Problem

31. Dezember 2004, 12:23:20 Uhr #61

31. Dezember 2004, 12:49:48 Uhr #62

Guy_with_Problem

31. Dezember 2004, 13:12:00 Uhr #63

31. Dezember 2004, 13:22:48 Uhr #64

Guy_with_Problem

31. Dezember 2004, 13:36:21 Uhr #65

31. Dezember 2004, 13:41:27 Uhr #66

Guy_with_Problem

31. Dezember 2004, 13:58:16 Uhr #67

Guy_with_Problem

31. Dezember 2004, 17:22:51 Uhr #68

03. Januar 2005, 15:27:17 Uhr #69

03. Januar 2005, 15:38:25 Uhr #70

04. Januar 2005, 12:38:24 Uhr #71

.da

04. Januar 2005, 16:13:53 Uhr #72

14. April 2005, 12:05:14 Uhr #73

14. April 2005, 12:11:09 Uhr #74

14. April 2005, 12:33:51 Uhr #75

14. April 2005, 12:37:13 Uhr #76

14. April 2005, 12:52:28 Uhr #77

14. April 2005, 14:00:47 Uhr #78

14. April 2005, 15:03:00 Uhr #79