Hallo allerseitz,
habe wohl auch das hier schon oft zitierte Pop-Up Problem!
Werde plötzlich auf irgendwelche Seiten weitergeleitet bzw. der Browser
öffnet sich und zeigt mir Seiten, welche behaupten ich wäre vom Blackworm etc. befallen.
Habe Ad-Aware, Anti-Vir, Spybot etc. schon laufen lassen, hat nur leider nix geholfen
Kann vielleicht jemand was mit meinem HijackThis Log anfangen?
Wäre klasse wenn mir jemand weiterhelfen könnte!

Logfile of HijackThis v1.99.1
Scan saved at 12:58:48, on 15.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AntiVir PersonalEdition Classic\sched.exe
D:\AntiVir PersonalEdition Classic\avguard.exe
E:\Apache2\bin\Apache.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
E:\Apache2\bin\Apache.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\ICQ\ICQLite.exe
D:\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
D:\VirtualCloneDrive\VCDDaemon.exe
D:\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
D:\Samurize\Client.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Winamp\winamp.exe
D:\Thunderbird\thunderbird.exe
D:\Firefox\firefox.exe
C:\DOKUME~1\Steve\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://*auskommentiert*/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.accoona.com/search?q=%s
R3 - Default URLSearchHook is missing
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "D:\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ICQ Lite] D:\ICQ\ICQLite.exe -minimize
O4 - HKLM\..\Run: [mspd] C:\WINDOWS\system32\mspd.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VirtualCloneDrive] "D:\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [csr] csrrs.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [avgnt] "D:\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [csr] csrrs.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\ICQ\ICQLite.exe -trayboot
O4 - Startup: Client Own.lnk = D:\Samurize\Client.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQ\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - h**p://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,90/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - h**p://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,23/mcgdmgr.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - h**p://fdl.msn.com/zone/datafiles/heartbeat.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: ShellCompatibility - C:\WINDOWS\system32\mvlml9311.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - D:\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - E:\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Imapi Helper - Alex Feinman - D:\ISO Recorder\ImapiHelper.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Schonmal danke im Vorraus:
MfG: The_Pinguin

Hallo,

las

C:\WINDOWS\system32\mspd.exe

online bei jotti oder/und http://www.virustotal.com

prüfen und poste das Ergebnis hier.

Gruß

Schrulli

Hey, erstmal danke für die schnelle Antwort!

Also:
bei Jotti wurde wohl nix gefunden!

Datei: mspd.exe
Auslastung:
0% 100%
Status:
OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

Genauso sieht es bei Virus-Total aus^^!

Antivirus Version Update Result
AntiVir 6.34.0.53 03.15.2006 no virus found
Avast 4.6.695.0 03.14.2006 no virus found
AVG 718 03.14.2006 no virus found
Avira 6.34.0.53 03.15.2006 no virus found
BitDefender 7.2 03.14.2006 no virus found
CAT-QuickHeal 8.00 03.14.2006 no virus found
ClamAV devel-20060126 03.15.2006 no virus found
DrWeb 4.33 03.15.2006 no virus found
eTrust-InoculateIT 23.71.102 03.15.2006 no virus found
eTrust-Vet 12.4.2120 03.15.2006 no virus found
Ewido 3.5 03.15.2006 no virus found
Fortinet 2.71.0.0 03.15.2006 no virus found
F-Prot 3.16c 03.14.2006 no virus found
Ikarus 0.2.59.0 03.14.2006 no virus found
Kaspersky 4.0.2.24 03.15.2006 no virus found
McAfee 4718 03.14.2006 no virus found
NOD32v2 1.1443 03.14.2006 no virus found
Norman 5.70.10 03.15.2006 no virus found
Panda 9.0.0.4 03.14.2006 no virus found
Sophos 4.03.0 03.15.2006 no virus found
Symantec 8.0 03.15.2006 no virus found
TheHacker 5.9.5.113 03.15.2006 no virus found
UNA 1.83 03.14.2006 no virus found
VBA32 3.10.5 03.14.2006 no virus found

Gibt es da noch mehr Möglichkeiten, woran das liegen kann?

Was ist denn z.B mit:
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - h**p://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,90/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - h**p://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,23/mcgdmgr.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - h**p://fdl.msn.com/zone/datafiles/heartbeat.cab

Kann mit denen nix anfangen!

MfG: The_Pinguin

Suche diese Datei: csrrs.exe.
Wie man Dateien richtig sucht, kannst Du in meiner Signatur lesen.
Lasse diese Datei bei Jotti prüfen und teile das Ergebnis mit.

Hallo felix1,

csrrs.exe = http://www.sophos.de/virusinfo/analyses/w32rbotckm.html

einfach mal googeln!

Hallo The_Pinguin,

Bei einem Trojaner mit Backdoor-Funktionaltität rate ich Dir hier dringend zur Neuinstallation.

http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html
http://en.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Botnet

Empfohlene Anleitung zur Neuinstallation:
http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung
http://www.trojaner-board.de/showpos...8&postcount=11

dartus

@Dartus
Moin, moin. Hatte ich auch schon gesehen, wollte aber sichergehen, ob das, was ich sah auch richtig war. Ich mache es mir mit der Aussage "Setze neu auf" nicht leicht.

Hallo felix1,

ich mir auch nicht!
Aber hier ist es mehr als eindeutig.

dartus