Hallo Leute,
hab`mir was eingefangen. und hab`schon einiges gelesen, was mir allerdings nicht weiterhilft. Ad-aware und spybot finden nichts. Auf dem Desktop ist als schwarzer Hintergrund eine Warnung mit Link zu Antispyware.com.
Ich wäre froh, wenn jemand sich meinen HijackThis scan anschauen kann.
Wie lade ich Ihn hoch, da ich keinen Anhang mit .log hier anhängen darf?
Freue mich auf einfache Hilfe, da ich weiß Gott kein Fachmann bin!

Tach

Mach es einfach via Copy und Paste.

Kopiere das was im Log steht und füge es hier ein.

Zusätzlich empfehle ich auch einen intensiven Scan mit eScan (mehr Infos - siehe meine Signatur).
Bitte das scannen stets im ABGESICHERTEN Modus machen.

Beide Logs hier posten und dann sehen wir mal weiter.

Wird schon werden

vvvvvvv Ich bin eine Signatur - lies mich vvvvvvvv

Logfile of HijackThis v1.98.0
Scan saved at 12:39:59, on 10.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\System32\CAP3RSK.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\BRMFRSMG.EXE
C:\Programme\Microsoft Works\WksSb.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Scansoft\PaperPort\pptd40nt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\T-Eumex\ISDN Guard\agfguard.exe
C:\Programme\Scansoft\PaperPort\SmartUI\SmartUI.exe
C:\Programme\T-Eumex\Tk-Suite-Basic\tools\ctimon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\Programme\T-Eumex\Tk-Suite-Basic\tkserver\tksock.exe
C:\Programme\T-Eumex\Tk-Suite-Basic\tkserver\tkmedia.exe
C:\Programme\AOL 9.0\waol.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Dokumente und Einstellungen\Gerd&Yvonne\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_198.zip\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\System32\spool\drivers\w32x86\3\CAP3ONN.EXE
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [PP8 SE Reminder] "C:\Programme\Scansoft\PaperPort\WebEreg\NAVBrowser.exe" -r "C:\Programme\Scansoft\PaperPort\WebEreg\navLoad.ini"
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl03a\BrStDvPt.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: ISDN Guard.lnk = C:\Programme\T-Eumex\ISDN Guard\agfguard.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SmartUI.lnk = ?
O4 - Global Startup: Statusfenster für Canon LASER SHOT LBP-1120.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
O4 - Global Startup: TK-Suite Client.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF41A56E-9191-48D5-AEB6-8C5BAFFA3F20}: NameServer = 205.188.146.145

Das sind die Hijackthisergebnisse. E scan muß ich erst noch runterladen usw.
Danke schon mal!!

@Blechgerd
schwarze hintergrund, blinkt?
hatten wir doch schon mal?
das posting von silverdrug..

chaosman

Ich sehe folgendes : Dieses C:\WINDOWS\system32\Brmfrmps.exe

schick erstmal was eScan sagt....

Zitat:

Zitat von FancyAndy

Ich sehe folgendes : Dieses C:\WINDOWS\system32\Brmfrmps.exe

Das ist harmlose Brother-Software.

Wird aber auch als Spyware ab und an deklariert - ergo überflüssig

Wo steht das? Nur weil es auf dieser Seite geführt wird???

Ja, ich hab jetzt schon einiges gelesen. Es ist wohl dieses schwarze Pop-Up- Fenster , das Aussieht wie der Hintergrund. Aber wie bekomme ich´s nun weg?
Eine wirklich einfache Anleitung habe ich bisher noch nicht gefunden.
Was soll ich machen ? Und wie bekämpf ich die Ursache dieser "Scheiße"?
Danke für die schnellen Antworten bisher!
Grüße

Hallo Blechgerd,

das meinte chaosman:

Zitat:

Zitat von Silverdrug

Juhuu,
alsoooo anleitung wie man des wegbekommt:

1 - Taskleiste Rechtsklick - Eigenschaften.
2 - Taskleiste automatisch ausblenden Aktivieren.
3 - Man kann nun einen kleinen Teil des alten Desktop hintergrundes sehen, da wo die Taskleiste früher war.
4 - Rechtsklick - Eigenschaften auf den kleinen alten Desktop ausschnitt.
5 - Dektop - Desktop anpassen
6 - Web-Karteikarte auswählen
7 - Eintrag "Security" Löschen

Führe aber noch Escan aus, aber bitte im abgesicherten Modus --->http://www.systemwiederherstellung-d...indows-xp.html

1. starte nach dem Scan wieder in den normalen Modus,
2. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
3. gebe dann "infected" ein,
4. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
5. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.


dartus

Hallo Leute,
der schwarze "Desktop" ist weg! Dankeschön , aber nun zu den Ursachen:
e-scan sagt mir:
c:\WINDOWS\System 32\Srpcsrv32.dll (er findet`s 2mal ??!!)
und
c:\WINDOWS\System32\txfdb32.dll

infected by"not-a-virus:Adware.Findspy.b" Virus

Wie kann ich diese Dateien entsorgen? sind ja schließlich Systemdateien.

Danke für die prompte Hilfe bisher. Klasse, was Ihr hier macht. Bin zum 1. Mal drin!
Grüße Gerd

Hallo,

hast Du Escan im ABGESICHERTEN MODUS laufen lassen?
Du hast noch mehr im System! Bitte wiederhole das ganze nochmal, so wie von mir beschrieben.
Diese beiden Dateien kannst Du bedenkenlos löschen, das sind keine Systemdateien.

dartus

Hallo Dartus,
hab e-scan im abgesicherten Modus laufen lassen und es findet nur die beiden vorher genannten Sachen. Beim hochfahren dauerts übrigens im Moment ewig und der Browser fährt automatisch hoch.
Soll ich den ganzen log hier reinsetzen?- ist ja ewig lang!
Ist überhaupt noch `was zuretten, oder soll ich lieber die Platten partitionieren/formatieren und alles neu drauf? Ist denn dann wenigstens alles weg?
Danke für Deine Hilfe
Gerd

Nur den letzten Part mit der Heuristic (Was gefunden wurde und wo, sowie Anzahl der Viren etc.) [also die Statistik].

Also ran an den Speck *g*

Hallo Blechgerd,

komisch das Escan, das nicht erkannt hat, was ich sehe .
Natürlich ist es am sichersten zu formatieren, hier eine Anleitung:

http://www.trojaner-board.de/showthread.php?t=12154
(wichtig die 12 Punkte!!)

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

LG
dartus