Hi,
heute früh ist mir der Internet Explorer auf einmal abgestürzt. Danach war meine Startseite mit einer Seite geändert wo eine Trojanermeldung auffordert ein Virenprogramm zu kaufen. Dazu komen ständig irgendwelche Popups mit Warnmeldungen. Das hab ich soweit weg bekommen mit SmitRem und Killbox.
Aber was ich leider nicht weg bekomme ist ein ständiger Popup im Systray:

Da blinkt ständig, gleich nach Windows Start (sogar im abgesicherten Modus!!!!), dieses Icon und ab und zu geht dieses popup auf.


Bitte um Hilfe!!! Hab keine Idee mehr und möchte nur sehr ungern auf formatc: zurückgreifen !!!!!!!!!!!!!!!!!!!!!!!!!!!

Hier ist mein HT log. Sieht aber eigentlich sauber aus, oder?

---------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 16:00:32, on 25.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Softwin\BitDefender9\bdswitch.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Electronic Arts\EA Downloader\Core.exe
C:\Programme\WallMaster\wallmast.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\WS_FTP Pro\ftp95pro.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
H:\bla\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\Programme\Softwin\BitDefender9\bdswitch.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EA Core] C:\Programme\Electronic Arts\EA Downloader\Core.exe -silent
O4 - Startup: WallMaster Pro.lnk = C:\Programme\WallMaster\wallmast.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,99/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120427140250
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15016/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6225A515-298D-4086-BAB0-632B125DD156}: NameServer = 192.168.2.1
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Hallo freefall,
du hättest die Boardsuche nützen können
guckst du hier

chaosman

Danke für die Antwort!
Ich bin die Prozedur jetzt 2 Mal durchgegangen. Leider aber das Popup immer noch nicht losgeworden
Hab im Abgesicherten Modus Smitrem laufen lassen, dann Spybot (alles gefundenene gelöscht und danach Immunisiert) und dann, wie beschrieben, EScan. 2 Sachen mit Trojanern konnte ich löschen. Da gab es eine Datei wo ich dann mit Killbox löschen konnte.
Einige Einträge hab ich aber nicht rausbekommen weil ich nicht wusste wie ich die löschen kann. Hier ein Auszug aus dem MWAV logfile:

-------------

Sat Mar 25 22:42:39 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Sat Mar 25 22:42:39 2006 => Loading Spyware Signatures from new External Database (Size: 154365).
Sat Mar 25 22:42:42 2006 => Indexed Spyware Databases Successfully Created...

Sat Mar 25 22:42:43 2006 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-444553540000})! Action taken: No Action Taken.
Sat Mar 25 22:42:47 2006 => Offending file found: C:\Dokumente und Einstellungen\Freefall\Favoriten\ebay.url
Sat Mar 25 22:42:47 2006 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: No Action Taken.

Sat Mar 25 22:42:47 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Freefall\Eigene Dateien\ea games\die sims 2\music\cas
Sat Mar 25 22:42:47 2006 => Object "casinoclient Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sat Mar 25 22:42:48 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Freefall\Eigene Dateien\ea games\die sims 2\music\cas
Sat Mar 25 22:42:48 2006 => Object "casinoclient Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sat Mar 25 22:42:49 2006 => Offending file found: C:\WINDOWS\system32\ctfmon.exe
Sat Mar 25 22:42:49 2006 => System found infected with family keylogger Commercial KeyLogger (C:\WINDOWS\system32\ctfmon.exe)! Action taken: No Action Taken.

------------------

Im Rest des logfiles standen eigentlich nur alle Dateien und Ordner die gescannt wurden. Kann das ganze auch noch posten, wenn nötig.

Kann bitte jemand helfen? Ich hab keine Idee mehr. Bin mir eigentlich nicht mal sicher ob die Sachen die im logfile noch "übrig sind" wirklich Infektionen sind die mit dem Popup Problem zu tun haben? Hört sich alles irgendwie gar nicht danach an....

Hallo

Ich hatte genau das selbe Problem wie Du.
Hab mich zufälligerweise auch mit dem Teil heute Morgen angesteckt.

Das Blöde Popup und blinken im Systray und ein sich immer wieder installierendes SpywareQuake gingen mir ziemlich auf die Nerven.
Am Anfang hatte ich auch noch Probleme mit dem Browser, die Startseite war nicht mehr zu verstellen.

Ich habe mich hier überall durchgelesen, hab sämtliche Vorschläge befolgt aber es half alles nichts, mittlerweile hab ich wohl alle Proggys, die zur Bekämpfung in diesem Forum aufgelistet wurden auf dem Rechner

Am einfachsten war jedoch das mit dem Browser.
Mit hoher Wahrscheinlichkeit wirst du im Windows/system32 folgende dateien finden

Nvctrl.exe
Mssearch.* könnte Dll gewesen sein weiß es nicht mehr.

Gehe in den Abgesicherten Modus, vorher schaltest du natürlich die Systemwiederherstellung (ist hier in den threads beschrieben)aus und löscht diese beiden Dateien mit Killbox.

Damit wäre das Problem mit dem Browser behoben.

Ich habe alle weiteren Instruktionen hier im Forum befolgt und nichts hat geholfen, Systray mit popup und immer wieder installierenden Spyware Quake blieben, 11 stunden später stieß ich auf nen Tipp (An dieser Stelle HERZLICHEN DANK AN WILDONE )

Also folgendes zunächst solltest du diese Seite mal zu deinen Favorites hinzufügen: http://www.virustotal.com/flash/index_en.html
Das ist ein antviren Scanner der alle Antivirenprogramme danach abfragt bzw sehr viele.

Dann jagst du mal folgende Dateien da durch

C:\WINDOWS\system32\interf.tlb
C:\WINDOWS\system32\stickrep.dll
C:\WINDOWS\system32\dfrgsrv.exe


sollte von irgendeinem aufgelisteten AV-Programm ein Virus erkannt werden dann diese Dateien im Abgesicherten Modus wie mit den beiden anderen Dateien (die du im übrigen auch vorher mit dem Proggy scannen solltest), mit der Killbox löschen.

Bei mir war es so das fast keiner der da aufgelisteten AV Programme was erkannten bis auf Drweb...da stand Trojan popuper, da läuteten die Alarmglocken. Außerdem sagte mir ein anderes Av-Programm auf der Seite Zlob/Smitfraud C. sind beides bekannte Trojaner/Malware.

Lange Rede kurzer Sinn, nachdem ich alle 5 Dateien aus meinem System entfernt hatte und im Abgesicherten Modus noch folgendes Programm laufen lies:Cleanup (wie du es einstellen sollst siehst du an der Seite, ich habe bis auf "Delete Favorites Bookmarks & Fully erase Files", alles angewählt gehabt ), war ich entlich geläutert von diesem Drecksvieh vom Trojaner.

Wünsche dir viel Glück und Ausdauer, bei mir hats knapp 11 Stunden in Anspruch genommen bis ich auf diesen rettenden Hinweis stieß.

MfG
Special

Nvctrl.exe
Mssearch.* könnte Dll gewesen sein weiß es nicht mehr.


Also folgendes zunächst solltest du diese Seite mal zu deinen Favorites hinzufügen: http://www.virustotal.com/flash/index_en.html
Das ist ein antviren Scanner der alle Antivirenprogramme danach abfragt bzw sehr viele.

Dann jagst du mal folgende Dateien da durch

C:\WINDOWS\system32\interf.tlb
C:\WINDOWS\system32\stickrep.dll
C:\WINDOWS\system32\dfrgsrv.exe


Danke für die Antwort !
So, hab mal geschaut; Nvctrl.exe und Mssearch.*sind beide nicht zu finden. Aber das Problem mit dem Browser und Startseite hatte ich ja auch scheinbar in den Griff bekommen.
Ganz anders sieht es it dem Virustotal scanner aus. Da hab ich, scheinbar genau wie Du, noch was drin stecken. Hier die Ergebnisse für die angegebenen Dateien:

This is a report processed by VirusTotal on 03/26/2006 at 10:12:07 (CET) after scanning the file "interf.tlb" file.
Antivirus Version Update Result
AntiVir 6.34.0.14 03.25.2006 no virus found
Avast 4.6.695.0 03.25.2006 no virus found
AVG 386 03.24.2006 no virus found
Avira 6.34.0.54 03.25.2006 no virus found
BitDefender 7.2 03.26.2006 no virus found
CAT-QuickHeal 8.00 03.25.2006 no virus found
ClamAV devel-20060202 03.25.2006 no virus found
DrWeb 4.33 03.26.2006 Trojan.Popuper
eTrust-InoculateIT 23.71.111 03.25.2006 no virus found
eTrust-Vet 12.4.2133 03.24.2006 Win32/Puper.CQ
Ewido 3.5 03.25.2006 no virus found
Fortinet 2.71.0.0 03.26.2006 no virus found
F-Prot 3.16c 03.23.2006 no virus found
Ikarus 0.2.59.0 03.24.2006 no virus found
Kaspersky 4.0.2.24 03.26.2006 no virus found
McAfee 4726 03.24.2006 no virus found
NOD32v2 1.1458 03.24.2006 no virus found
Norman 5.70.10 03.24.2006 W32/Zlob.IT
Panda 9.0.0.4 03.25.2006 Suspicious file
Sophos 4.04.0 03.25.2006 no virus found
Symantec 8.0 03.26.2006 no virus found
TheHacker 5.9.7.120 03.26.2006 no virus found
UNA 1.83 03.23.2006 no virus found
VBA32 3.10.5 03.26.2006 no virus found

This is a report processed by VirusTotal on 03/26/2006 at 10:22:00 (CET) after scanning the file "stickrep.dll" file.
Antivirus Version Update Result
AntiVir 6.34.0.14 03.25.2006 no virus found
Avast 4.6.695.0 03.25.2006 no virus found
AVG 386 03.24.2006 no virus found
Avira 6.34.0.54 03.25.2006 no virus found
BitDefender 7.2 03.26.2006 Trojan.Fakealert.AL
CAT-QuickHeal 8.00 03.25.2006 no virus found
ClamAV devel-20060202 03.25.2006 no virus found
DrWeb 4.33 03.26.2006 Trojan.Fakealert
eTrust-InoculateIT 23.71.111 03.25.2006 no virus found
eTrust-Vet 12.4.2133 03.24.2006 no virus found
Ewido 3.5 03.25.2006 no virus found
Fortinet 2.71.0.0 03.26.2006 no virus found
F-Prot 3.16c 03.23.2006 no virus found
Ikarus 0.2.59.0 03.24.2006 no virus found
Kaspersky 4.0.2.24 03.26.2006 no virus found
McAfee 4726 03.24.2006 no virus found
NOD32v2 1.1458 03.24.2006 no virus found
Norman 5.70.10 03.24.2006 no virus found
Panda 9.0.0.4 03.25.2006 no virus found
Sophos 4.04.0 03.25.2006 Troj/FakeVir-E
Symantec 8.0 03.26.2006 no virus found
TheHacker 5.9.7.120 03.26.2006 no virus found
UNA 1.83 03.23.2006 no virus found
VBA32 3.10.5 03.26.2006 Trojan.Fakealert

Die C:\WINDOWS\system32\dfrgsrv.exe find ich auf meinem System nicht. Glaube aber die hatte ich gestern schon mit Killbox gelöscht gehabt.
Die anderen beiden dann also einfach löschen?

Yes! Hat geklappt! Vielen dank für den Tipp!! :aplaus:
Dieser Scanner ist wirklich gut. Sonst hat kein anderes AV Programm was gefunden.
Jetzt frage ich mich nur noch wie man sich vor der Sache hätte schützen können. Ich hab Bitdefender, Zonealarm ständig laufen. Scanne regelmässig mit Adaware und Spybot. Aber keiner hat Alarm geschlagen.
Aufgetreten ist das Problem nach einem plötzlichen Abstürz des Internet Exploreres. Da war ich aber weder auf einer "gefährlichen Seite" noch hab ich irgendwas angeklickt oder gestartet...