Hallo,

ich hab Spybot usw. schon drüber laufen lassen.
Das Problem ist jedoch weiterhin vorhanden, echt nervig, da jedemal wenn ich den IE öffne, das System in die Knie geht...

Firefox läuft zum Glück noch...

Vielen Dank schonmal!!!

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 14:40:06, on 15.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Jana2\Janad.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\Programme\Analog Devices\SoundMAX\spkrmon.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\PeerGuardian2\pg2.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\CCleaner\ccleaner.exe
C:\Programme\Winamp\Winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\xxx\Desktop\Neuer Ordner\Neuer Ordner\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://google.icq.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.helinet.de:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.66.*
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Watch for Browser Events - {42A7CE31-CEE7-4CCE-A060-A44A7E52E062} - C:\PROGRA~1\KEYBOA~1\kie.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IECatcher Class - {569E7719-1A11-415E-9206-AC1860FB8BFF} - C:\Programme\InstantGet\IGCatcher.dll
O2 - BHO: (no name) - {62DDF6ED-BBFC-4C78-88B5-9D96D1BCB0F7} - C:\WINDOWS\system32\ins32.dll (file missing)
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\Xi\NetTransport 2\NTIEHelper.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: InstantGet Bar - {98C92840-EB1C-40bd-B6A5-395EC9CD6510} - C:\Programme\InstantGet\IGIEBar.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [googletalk] "C:\Programme\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: BOINC Manager.lnk = C:\Programme\BOINC\boincmgr.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: &Alles mit InstantGet runterladen - res://C:\Programme\InstantGet\IGCatcher.dll/IGAll.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Mit InstantGet runterla&den - res://C:\Programme\InstantGet\IGCatcher.dll/IGLink.htm
O8 - Extra context menu item: Mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Run InstantGet - {6DDFE91C-A45C-4812-8F57-098932C9D88D} - C:\Programme\InstantGet\InstantGet.exe
O9 - Extra 'Tools' menuitem: &InstantGet - {6DDFE91C-A45C-4812-8F57-098932C9D88D} - C:\Programme\InstantGet\InstantGet.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - hxxp://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - hxxp://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {AEFAB7D2-9253-484E-8BBA-D9F779D32BEE} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {AEFAB7D2-9253-484E-8BBA-D9F779D32BEE} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {CF26806C-9DA5-4CA7-B8AD-7D425BFF4CD1} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {CF26806C-9DA5-4CA7-B8AD-7D425BFF4CD1} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {0F9B4CA4-A30F-480A-841D-69B45C50A8F8} (SekureL0gin.SekureKontrol) - hxxp://secure2.comned.com/signuptemplates/AktiveSekurity.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127927416703
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - hxxp://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - hxxp://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - hxxp://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F7BFA06-AB8B-4E18-9ABC-8DA286B21C8F}: NameServer = 192.168.1.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Jana Server 2 (Janad) - Thomas Hauck, Privat - C:\Programme\Jana2\Janad.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: spkrmon - Unknown owner - C:\Programme\Analog Devices\SoundMAX\spkrmon.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
         

@Dr.Gonzo

Zitat:

O2 - BHO: (no name) - {62DDF6ED-BBFC-4C78-88B5-9D96D1BCB0F7} - C:\WINDOWS\system32\ins32.dll (file missing)
O16 - DPF: {0F9B4CA4-A30F-480A-841D-69B45C50A8F8} (SekureL0gin.SekureKontrol) - hxxp://secure2.comned.com/signuptemplates/AktiveSekurity.cab

Das kommt mir spanisch vor. Bitte diese beiden fixen und eScan (Anleitung in meiner Sigantur) durchführen.

Was mir auch noch aufgefallen ist:

Firefox lastet die CPU auch teilweise stark aus und reserviert sich große Menge im Speicher, das ist für mich nicht normal.... Steht das evtl. in Beziehung zu dem o.g. IE-Problem?

im Taskman:

Firefox 55% Systemauslastung (P4 3GH, 1GB Ram)
81MB Hauptspeicherreservierung

Ja, Speicher kann FF gut leiden. Zur CPU-Auslatung: hast Du irgendwelche Extensions laufen?

eigentlich nicht, nicht dass ich wüsste.

Zitat:

Zitat von Rene-gad

@Dr.Gonzo

Das kommt mir spanisch vor. Bitte diese beiden fixen und eScan (Anleitung in meiner Sigantur) durchführen.

Hab deine Anweisung mal befolgt und leider besteht das Problem immer noch:




@MightyMarc
Verhindert die Benutzung eines User-Accounts denn wirklich die Einnistung von solchen Geräten, denn theoretisch pflanzen die sich ja durch Backdoors (wird da zwische User oder Admin unterschieden) ein oder macht es einen Unterschied??

Zitat:

Zitat von Dr.Gonzo

@MightyMarc
Verhindert die Benutzung eines User-Accounts denn wirklich die Einnistung von solchen Geräten, denn theoretisch pflanzen die sich ja durch Backdoors (wird da zwische User oder Admin unterschieden) ein oder macht es einen Unterschied??

Malware benötigt, abhängig von der Programmierung, Zugriff auf bestimmte Verzeichnisse. Meistens liegen diese Verzeichnisse irgendwo in C:\Windows. Als User hast Du per Default aber keine Schreibrechte in diesen Ordnern, weshalb die meiste Malware sich nicht einnisten kann. Gleiches gilt für das Einnisten in die Registry. Allerdings sind auch Useraccounts nicht hundertprozentig sicher. Ein gesundes Misstrauen gegenüber obskuren Seiten und Quellen ist immer von Vorteil.
In den meisten Fällen kommt das System nicht zu einem Schädlingsbefall wie die Jungfrau zum Kind, sondern der User holt sich (meist unwissentlich, oft aber auch in der Annahme, seine Schutzsoftware würde das alles regeln) die Malware selbst auf den Rechner.


BTW: hast Du Escan laufen lassen (siehe Signatur von Rene-gad)? Das Log würde uns sehr interessieren.

BTW2: Backdoor
Ein Trojaner kann eine Backdoor (Hintertür öffnen) um jemandem Zugriff auf Dein System zu ermglichen.
Bei Code der Lücken in Betreibssystemen ausnutzt spricht man von Exploit. Bei Exploits die noch nicht offiziell bekannt sind von 0-Day-Exploits.

Zitat:

Zitat von MightyMarc

BTW: hast Du Escan laufen lassen (siehe Signatur von Rene-gad)? Das Log würde uns sehr interessieren.

Danke für die ausführliche Erläuterung, werde mir bald einen "User" einrichten und damit in Zukunft arbeiten!

Gibt es eine Option in Windows XP, in der man meine jetzigen (Administrator)-Daten quasi auf einen "User-Account" transferieren kann?

Ich habe eScan durchlaufen lassen, Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

So Jan 15 20:51:32 2006 => ***** Analyse vollständig. *****
So Jan 15 20:51:32 2006 => 
So Jan 15 20:51:32 2006 => Anzahl gescannter Dateien: 179523
So Jan 15 20:51:32 2006 => Anzahl infizierter Dateien: 6
So Jan 15 20:51:32 2006 => Anzahl desinfizierter Dateien: 0
So Jan 15 20:51:32 2006 => Anzahl der umbennanten Dateien: 0
So Jan 15 20:51:32 2006 => Anzahl der gelöschten Dateien: 5
So Jan 15 20:51:32 2006 => Anzahl Fehler: 2
So Jan 15 20:51:32 2006 => Dauer:: 01:38:01
         

Der komplette Log ist 23,5MB und enthält auch wichtige persönliche Infos, daher....

Code: Alles auswählenAufklappen

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Funde für "infected" 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Sun Jan 15 19:11:55 2006 => System found infected with PowerStrip Spyware/Adware ({669695bc-a811-4a9d-8cdf-ba8c795f261c})! Action taken: Keine Aktion vorgenommen.
Sun Jan 15 19:12:57 2006 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Funde für "tagged" 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Funde für "offending" 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Sun Jan 15 19:11:56 2006 => Offending Folder found: C:\PROGRA~1\accessdiver
Sun Jan 15 19:11:58 2006 => Offending value found in HKCU\Software\gnu !!!
Sun Jan 15 19:12:07 2006 => Offending value found in HKLM\Software\magnet\handlers\limewire !!!
Sun Jan 15 19:12:07 2006 => Offending value found in HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\limewire !!!
Sun Jan 15 19:12:07 2006 => Offending Folder found: C:\PROGRA~1\limewire
Sun Jan 15 19:12:57 2006 => Offending file found: C:\WINDOWS\iun6002.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~ © Haui ;-) ~~~~~~~ 
~~~~~~~ Dank an Cidre ~~~~~~~