Ich hatte bislang das Glück keinerlei Erfahrung mit Trojanern und Viren machen zu müssen. Doch als ich mir vorgestern eine Datei runterlied fing das Unheil an: Ein Programm namens SpyGuard zeigte ständig Meldungen über Viren auf meinem PC an; die IE Startseite änderte sich und Google Ergebnisse führten immer zu einer Seite. Ich hoffe ihr könnt mir helfen. Bitte habt Nachsicht mit mir und erklärt mir alles ohne Fachbegriffe. Danke.


Logfile of HijackThis v1.99.1
Scan saved at 19:23:04, on 16.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\brsvc01a.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\brss01a.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\ishost.exe
D:\Programme\ScanSoft\PaperPort\pptd40nt.exe
D:\WINDOWS\system32\ismon.exe
D:\Programme\D-Tools\daemon.exe
D:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
D:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
D:\WINDOWS\System32\alg.exe
D:\Programme\hijackthis_199\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SSBkgdUpdate] "D:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] D:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] D:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PCLEPCI] D:\PROGRA~1\Pinnacle\PPE\PPE.EXE
O4 - HKLM\..\Run: [SpySweeper] "D:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [PMCRemote] D:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] D:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: D:\WINDOWS\system32\spool32.dll
O23 - Service: Adobe LM Service - Unknown owner - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - D:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - D:\WINDOWS\System32\brsvc01a.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - D:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

Mein Viren- und Anti-Spyprogramme: AntiVir Guard und SpySweeper

hmmm....aber irgendwie fehlen da die wesentlichen einträge wie du das problem beschreibst.

die sollten mit R und/oder R0...anfangen...(im hijack this log) und es fehlen die BHO einträge auch.

hast du was weggelassen?

aber heut habt ihr im großen und ganzen irgendwie alles das selbe:
D:\WINDOWS\system32\ismon.exe
D:\WINDOWS\system32\ishost.exe

und wie gesagt...leider fehlt der komplette anfang des logs...

was hast du denn auf laufwerk c?

Zitat:

Zitat von rock

hast du was weggelassen?

aber heut habt ihr im großen und ganzen irgendwie alles das selbe:
D:\WINDOWS\system32\ismon.exe
D:\WINDOWS\system32\ishost.exe

und wie gesagt...leider fehlt der komplette anfang des logs...

was hast du denn auf laufwerk c?

Ich habe den gesatem Log-File reinkopiert. Auf C habe ich eigentlich nix. Vor kurzem hat mein Bruder Windows neu installiert auf D, da das Laufwerk größer ist. Auf D liegen auch alle Programme.

Sollte vielleicht erwähnen das ich das System schonmal mit HijackThis gescannt habe und einige Dateien gefixt hatte. Das Problem besteht allerdings immer noch.

dann starte den rechner in den abgesicherten modus, lösche temp.internetfiles incl. offlineinhalte, lösch die inhalte von ordner TEMP und darauf den papierkorb leeren.

bleib im abgesicherten modus und scan mit antivir und dann mit spysweeper oder umgekehrt, wie du willst, nochmal den rechner.

Zitat:

Zitat von rock

D:\WINDOWS\system32\ismon.exe
D:\WINDOWS\system32\ishost.exe

Sicheres Anzeichen für ZLOB.
Anleitung: http://www.trojaner-board.de/showthread.php?t=30411

Gruß
Yopie

ich habs gemerkt heute hier...wo treten sie sich das bloß alle ein??

jedenfalls danke...jetzt weis ich wo die einträge endlich hingehören

Zitat:

Zitat von rock

ich habs gemerkt heute hier...wo treten sie sich das bloß alle ein??

Toolz, Crackz, Codecz, das Übliche halt. Aber genaueres wird uns sicher Jamesgirl verraten können. Ich wunder mich nämlich auch immer wieder.

Eigentlich denke ich aber, es muss ein Parallelinternet geben. In meinem Internet komme ich jedenfalls mit Schädlingen so gut wie nicht in Berührung.

Gruß
Yopie

Ich habe die Anweisungen (SmitFraudfix) in dem anderen Thread befolgt, dennoch findet Spy Sweeper Trojaner.

Rapport Datei:

Scan done at 20:45:52,87, 16.07.2006
Run from D:\Programme\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning not selected.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Würd gern das Protokoll von SpySweeper posten, is aber zu lang.

Zitat:

Zitat von Jamesgirl

Ich habe die Anweisungen (SmitFraudfix) in dem anderen Thread befolgt, dennoch findet Spy Sweeper Trojaner.

Welche Trojaner werden wo gefunden?

Gruß
Yopie

Zitat:

Zitat von Yopie

Welche Trojaner werden wo gefunden?

Das sagt Spy Sweeper dazu:

Spy Sweeper stellt Ihnen detaillierte Angaben zu den in diesem Bereich durchgeführten Vorgängen zur Verfügung.
Programmversion 4.0.4 (Build 462) (Spyware-Definitionen 719)

Um ein vollständiges Entfernen von Spyware, Adware und anderen unerwünschten Elementen zu gewährleisten, schließen Sie alle geöffneten Programme.
Entsprechend Ihren Suchoptionen werden folgende Elemente durchsucht:
Laufwerke: D:
Ebenfalls durchsucht: Arbeitsspeicher, Cookies, Registrierung
Trojan Horse gefunden: trojan-downloader-conhook
Trojan Horse gefunden: trojan agent winlogonhook
Adware gefunden: maxifiles
Spy Cookie gefunden: overture cookie
Spy Cookie gefunden: tradedoubler cookie
Spy Cookie gefunden: myaffiliateprogram.com cookie
Spy Cookie gefunden: reliablestats cookie
Die Vollsuche wurde abgeschlossen. Abgelaufene Zeit 00:01:34
Gefundene Spuren: 99
trojan-downloader-conhook (Trojan Horse)
Trojan-Downloader-Conhook is a type of Trojan horse that downloads other applications onto your computer. It can run in the background, hiding its presence.

overture cookie (Spy Cookie)
Overtureis ist ein Cookie, mit dem Besucher einer Website und ihre persönlichen Präferenzen nachverfolgt werden können.
maxifiles (Adware)
Maxifiles is an adware program that may display pop-up advertisements on your computer.
overture cookie (Spy Cookie)
Overtureis ist ein Cookie, mit dem Besucher einer Website und ihre persönlichen Präferenzen nachverfolgt werden können.
Ausgewählte isolierte Dateien werden gelöscht.
Fertig.

Um ein vollständiges Entfernen von Spyware, Adware und anderen unerwünschten Elementen zu gewährleisten, schließen Sie alle geöffneten Programme.
Entsprechend Ihren Suchoptionen werden folgende Elemente durchsucht:
Laufwerke: D:
Ebenfalls durchsucht: Arbeitsspeicher, Cookies, Registrierung
Trojan Horse gefunden: trojan-downloader-conhook
Adware gefunden: maxifiles
Trojan Horse gefunden: trojan agent winlogonhook
Adware gefunden: security2k hijacker
Die Vollsuche wurde abgeschlossen. Abgelaufene Zeit 00:01:41
Gefundene Spuren: 105

Hallo Jamesgirl,

Zitat:

trojan-downloader-conhook (Trojan Horse)
Trojan-Downloader-Conhook is a type of Trojan horse that downloads other applications onto your computer. It can run in the background, hiding its presence.

Reicht dein Englisch dir das hier selbst zu übersetzen ?
Da hast du ja einen kreuzgefährlichen Burschen eingefangen.
Du kennst die Rubrik "Anleitungen,FAQ,Link`s" ?
Du wirst sie kennenlernen müssen !
Du mußt nämlich unbedingt Neuaufsetzen !
Wenn du es nach der Anleitung im Forum machst,dich auch an die weiterführenden Tipp`s hältst,wirst du zukünftig von solcher Art Ärger verschont bleiben.
Irrlicht

Ja, dazu reicht mein englisch. Oh man, das fehlt mir jetzt noch. Ich habe das Neuaufsetzen noch nie gemacht. Les mir das morgen mal in aller Ruhe durch. Hoffe ich bekomm das hin. Danke für die Hilfe.

@ jamesgirl,

wenn du irgendwas nicht weist dann frag doch lieber! (2x)

du hast es fast geschafft...warum scannst du nicht im abgesicherten modus?? so wie spysweeper schreibt; schliesen sie vorher die programme um zu löschen....kannst du nicht im abgesicherten gewesen sein...denn da gibts nix vorher zum schliesen, weil da ausser die treiber die windows in dem modus auf den beinen halten, mitladen.

also!
du reinigst den pc erstmal vom temporären schrott, und den cookies, den verlauf..e.tc. am besten nimmst du dazu das kleine tool CCleaner!! hat (fast) jeder!
hier findest du es:
http://filepony.de/download-ccleaner/

dann wenn du damit aufgeräumt hast, startest du sofort den PC in den abgesicherten modus und nochmal mit deinem spysweeper scannen und gefundenen kram löschen!

sollte erledigt sein!

dann startest du wieder in den normalmodus und postest du sicherheishalber noch einen neuen logbericht!

Viel Glück!

rock

Hallo,
@Rock
Mein alter Rokop-Freund
Ich schätze dich sehr,aber fürchte das du doch langsam älter wirst....
Hast du die Erklärung zu ihrem Problem nicht gelesen ?
Kein SCanner/Aufräumproggi kann das Problem von Jamesgirl beheben.
Nur Neuaufsetzen gibt ihr die Garantie auf einen sauberen Rechner ohne "üble Besucher".
Irrlicht