Jede Menge Trojaner und Pop-Ups

Krissie · 17.12.2005, 19:16

Ja, also ich habe zig Trojaner drauf gehabt und hoffentlich erfolgreich gelöscht.
Allerdings werde ich die nervigen Pop-Ups nicht los.
Spybot hat einiges gefunden (z.B. C.Fraud). Ist jetzt aber angeblich alles entfernt.
Hoffentlich könnt ihr mir helfen.
Achja, meine CPU Auslastung tendiert zu 100%....

Hab meine Logfile bei Hijack automatisch auswerten lassen, aber da kam nix bei raus.

Logfile of HijackThis v1.99.1
Scan saved at 19:10:30, on 17.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
d:\AVPersonal\AVGUARD.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
D:\Winamp\winampa.exe
D:\DAEMON Tools\daemon.exe
D:\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
D:\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
C:\WINDOWS\System32\svchost.exe
D:\Mozilla\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
D:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools] "D:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] "d:\AVPersonal\AVGNT.EXE" /min
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = D:\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\oibcconf.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - d:\AVPersonal\AVWUPSRV.EXE (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Cookies, Temp Internetfiles und Cache hab ich über Einstellungen gelöscht.

cacatoa · 17.12.2005, 22:14

Hi,
laß mal diese hier:
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\oibcconf.dll online bei Jotti online scannen.
Ich denke insgesamt mal an spyaxe. Dazu gibt es jede Menge threads hier (Boardsuche).
Aber poste erst mal das Ergebnis von Jotti.
cacatoa

Krissie · 17.12.2005, 23:17

Das hab ich mittlerweile schon mit Hijack entfernt.
Problem besteht aber immernoch.

Spyware-Doctor findet immer wieder was. Ich lösch den Kram und 10 Minuten später is schon wieder was neues da.

Neu aufsetzen kann ich gerade nicht. Finde meine Windows Cd nicht.

Logfile of HijackThis v1.99.1
Scan saved at 23:16:22, on 17.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
d:\AVPersonal\AVGUARD.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\Spyware Doctor\sdhelp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
D:\Winamp\winampa.exe
D:\DAEMON Tools\daemon.exe
D:\AVPersonal\AVGNT.EXE
D:\AdsGone\adsgone.exe
D:\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
D:\Spyware Doctor\swdoctor.exe
D:\MOZILLA\FIREFOX.EXE
D:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - D:\SPYWAR~2\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - D:\SPYWAR~2\tools\iesdpb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools] "D:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] "d:\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [Spyware Doctor] "D:\Spyware Doctor\swdoctor_tbe.exe" /Q
O4 - Startup: AdsGone.lnk = D:\AdsGone\adsgone.exe
O4 - Global Startup: AdsGone 2006.lnk = D:\AdsGone\adsgone.exe
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = D:\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: ShellCompatibility - C:\WINDOWS\system32\e4jm0e11eh.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - d:\AVPersonal\AVWUPSRV.EXE (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - D:\Spyware Doctor\sdhelp.exe

cacatoa · 17.12.2005, 23:22

Dann mach mal folgendes (die Entfernung des Eintrags war nicht gut; weil wir damit nicht wissen, was wir bekämpfen):
Laß mal Blacklight laufen und berichte, was es gefunden hat.
cacatoa

Krissie · 17.12.2005, 23:46

Der scannt nur ganz kurz und findet nix.
Hab jetzt nochmal Spyware Doctor laufen lassen.
Vielleicht hilft das ja weiter:

Name der Infizierung Standort Risiko
Backdoor.Rbot.Gen HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile##EnableFirewall Hoch

Backdoor.Rbot.Gen HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile##EnableFirewall Hoch

VX2.Look2Me C:\DOKUME~1\...\LOKALE~1\Temp\Temporary Internet Files\Content.IE5\4TIB49A7\PopupV2A[1].htm

cacatoa · 17.12.2005, 23:51

Krissie, das möchte ich verifiziert haben. Bitte nach folgender Anleitung einen eScan durchführen und das Ergebnis posten.
Wenn du wirklich einen RBot drauf hast, dann hilft nur noch Neuaufsetzen des Systems.
Und spyware doctor im abgesicherten Modus bei deaktivierter Systemwiederherstellung laufen lassen.
cacatoa

Jede Menge Trojaner und Pop-Ups

Log-Analyse und Auswertung: Jede Menge Trojaner und Pop-Ups