Ich hatte bislang das Glück keinerlei Erfahrung mit Trojanern und Viren machen zu müssen. Doch als ich mir vorgestern eine Datei runterlied fing das Unheil an: Ein Programm namens SpyGuard zeigte ständig Meldungen über Viren auf meinem PC an; die IE Startseite änderte sich und Google Ergebnisse führten immer zu einer Seite. Ich hoffe ihr könnt mir helfen. Bitte habt Nachsicht mit mir und erklärt mir alles ohne Fachbegriffe. Danke.


Logfile of HijackThis v1.99.1
Scan saved at 19:23:04, on 16.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\brsvc01a.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\brss01a.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\ishost.exe
D:\Programme\ScanSoft\PaperPort\pptd40nt.exe
D:\WINDOWS\system32\ismon.exe
D:\Programme\D-Tools\daemon.exe
D:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
D:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
D:\WINDOWS\System32\alg.exe
D:\Programme\hijackthis_199\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SSBkgdUpdate] "D:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] D:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] D:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PCLEPCI] D:\PROGRA~1\Pinnacle\PPE\PPE.EXE
O4 - HKLM\..\Run: [SpySweeper] "D:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [PMCRemote] D:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] D:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: D:\WINDOWS\system32\spool32.dll
O23 - Service: Adobe LM Service - Unknown owner - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - D:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - D:\WINDOWS\System32\brsvc01a.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - D:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

Mein Viren- und Anti-Spyprogramme: AntiVir Guard und SpySweeper

hmmm....aber irgendwie fehlen da die wesentlichen einträge wie du das problem beschreibst.

die sollten mit R und/oder R0...anfangen...(im hijack this log) und es fehlen die BHO einträge auch.

hast du was weggelassen?

aber heut habt ihr im großen und ganzen irgendwie alles das selbe:
D:\WINDOWS\system32\ismon.exe
D:\WINDOWS\system32\ishost.exe

und wie gesagt...leider fehlt der komplette anfang des logs...

was hast du denn auf laufwerk c?

Zitat:

Zitat von rock

hast du was weggelassen?

aber heut habt ihr im großen und ganzen irgendwie alles das selbe:
D:\WINDOWS\system32\ismon.exe
D:\WINDOWS\system32\ishost.exe

und wie gesagt...leider fehlt der komplette anfang des logs...

was hast du denn auf laufwerk c?

Ich habe den gesatem Log-File reinkopiert. Auf C habe ich eigentlich nix. Vor kurzem hat mein Bruder Windows neu installiert auf D, da das Laufwerk größer ist. Auf D liegen auch alle Programme.

Sollte vielleicht erwähnen das ich das System schonmal mit HijackThis gescannt habe und einige Dateien gefixt hatte. Das Problem besteht allerdings immer noch.

dann starte den rechner in den abgesicherten modus, lösche temp.internetfiles incl. offlineinhalte, lösch die inhalte von ordner TEMP und darauf den papierkorb leeren.

bleib im abgesicherten modus und scan mit antivir und dann mit spysweeper oder umgekehrt, wie du willst, nochmal den rechner.

Zitat:

Zitat von rock

D:\WINDOWS\system32\ismon.exe
D:\WINDOWS\system32\ishost.exe

Sicheres Anzeichen für ZLOB.
Anleitung: http://www.trojaner-board.de/showthread.php?t=30411

Gruß
Yopie

ich habs gemerkt heute hier...wo treten sie sich das bloß alle ein??

jedenfalls danke...jetzt weis ich wo die einträge endlich hingehören

Zitat:

Zitat von rock

ich habs gemerkt heute hier...wo treten sie sich das bloß alle ein??

Toolz, Crackz, Codecz, das Übliche halt. Aber genaueres wird uns sicher Jamesgirl verraten können. Ich wunder mich nämlich auch immer wieder.

Eigentlich denke ich aber, es muss ein Parallelinternet geben. In meinem Internet komme ich jedenfalls mit Schädlingen so gut wie nicht in Berührung.

Gruß
Yopie

Ich habe die Anweisungen (SmitFraudfix) in dem anderen Thread befolgt, dennoch findet Spy Sweeper Trojaner.

Rapport Datei:

Scan done at 20:45:52,87, 16.07.2006
Run from D:\Programme\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning not selected.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End