Ich hatte in letzter zeit immer öfter plötzliche window die mich auf seiten wie w*w.aenima.com zum Winantivirus2006 pro oder diese seite verlinken (h**p://de.winantivirus.com/download/...jan&ax=2&ex=1). Vorher sind da immer noch IE-Meldungen, dass Sicherheitsfehler im system sind und dass ich die verlinkte software einfach laden soll (hab ich natürlich nich gemacht), irgendwelche Sicherheitsdienste von .Serwab. Öffnet sich auf der Seite sogar ab und zu direkt ein downloadfenster. Reichts. Ich benutze Windows XP professional Edition...

Hier mal mein HijackThis log:

Logfile of HijackThis v1.99.1
Scan saved at 15:55:37, on 27.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Programme\Java\j2re1.4.2_03\bin\jucheck.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Okidata\OKI LPR Utility\okilpr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\ricochet\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://***/login.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/de...=de&l=de&s=gen
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [BuildBU] c:\dell\bldbubg.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\Programme\McAfee\SpamKiller\MSKDetct.exe /uninstall
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\ricochet\Desktop\hijackthis_199\HijackThis.exe /startupscan
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OKI LPR Utility.lnk = C:\Programme\Okidata\OKI LPR Utility\okilpr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5EC57748-65A2-4212-83DC-8A1042E370BE}: NameServer = ***,***
O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Programme\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: eTrust Antivirus-RPC-Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus-Echtzeitserver (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus-Jobserver (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


Ihr habt solche Probleme bestimmt schon öfters behandelt, aber ich konnte einfach keinen thread finden, der mir ähnlich war und der mir weitergeholfen hätte. Also schonmal danke im Voraus und entschuldigung, falls ich die Lösung des problems im Forum einfach nicht gefunden habe...

@wischnja,

Hallo,

als erstes solltest du alle noch aktiven Links editieren, so wie es in den "Nutzungsbedingungen" definiert ist

Führe folgende Schritt durch:

1.) Scanne dein System mit eScan, poste anschliessend das Ergebnis mit Hilfe der "find.bat"

2.) Scanne dein System mit F-Secure Blacklight, poste auch hier anschliessend den Report

Gruß
Daniel

Kleine Ergänzung:

Zitat:

C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll

Diese Java-Version ist URALT!
Ich bin mir nicht sicher, aber gehört Winantivirus nicht zu dieser Smitfraud/Zlob-Geschichte?

Zitat:

Zitat von cosinus

aber gehört Winantivirus nicht zu dieser Smitfraud/Zlob-Geschichte?

Meines Wissens, JA!

Da aber keine Einträge in Verbindung stehen mit Winantivirus 2006, will ich erstmal sehen was eScan sagt bzw. ich denke nicht das er Winantivirus über das Pop-Up installiert hat...

Hallo,

das habe ich leider zu spät gelesen: Achtung:
Es ist zwingend notwendig, daß die Sprache 'Englisch' bei der aktuellen Version eingestellt wird, da sonst die Find.bat nicht mehr funktioniert!

Hab als Deutsch instalert, wie kriege ich jetzt diesen "find.bat"??

Zitat:

Zitat von wischnja

Hallo,

das habe ich leider zu spät gelesen: Achtung:
Es ist zwingend notwendig, daß die Sprache 'Englisch' bei der aktuellen Version eingestellt wird, da sonst die Find.bat nicht mehr funktioniert!
Hab als Deutsch instalert, wie kriege ich jetzt diesen "find.bat"??

Hat eScan denn viele Funde? Dann kopier das mal manuell hierrein...
Oder sende mir das große Logfile mwav.log in c:\bases_x per e-Mail und schau es mir an. Mail an cosinus

A, ja , danke, hier das kleine liste:

Object "gain.gator Spyware/Adware" in Dateisystem gefunden!

Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.




Datei C:\Dokumente und Einstellungen\ricochet\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\dmnrh7im.default\Cache\955FA9C6d01 markiert als not-a-virusownloader.Win32.WinFixer.f. Keine Aktion vorgenommen.


Datei C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP48\A0003245.sys infiziert von "Trojan.Win32.Agent.ny" Virus. Aktion vorgenommen: Datei gelöscht.




Datei C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP48\A0003246.exe infiziert von "Trojan.Win32.Agent.ny" Virus. Aktion vorgenommen: Datei gelöscht.


Datei C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP48\A0003247.exe infiziert von "Trojan.Win32.Agent.ny" Virus. Aktion vorgenommen: Datei gelöscht.



Datei C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP48\A0003248.exe infiziert von "Trojan.Win32.Agent.ny" Virus. Aktion vorgenommen: Datei gelöscht.



Datei C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP48\A0003251.dll infiziert von "Trojan.Win32.Agent.vg" Virus. Aktion vorgenommen: Datei gelöscht.



Datei C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP48\A0003252.dll infiziert von "Trojan-Spy.Win32.VBStat.d" Virus. Aktion vorgenommen: Datei wird beim Neustart gelöscht.



Datei C:\WINDOWS\Temp\win12.tmp.exe infiziert von "Trojan-Downloader.Win32.PurityScan.cq" Virus. Aktion vorgenommen: Datei gelöscht.
Datei C:\WINDOWS\Temp\win4B.tmp.exe infiziert von "Trojan-Downloader.Win32.Small.cvw" Virus. Aktion vorgenommen: Datei gelöscht.

mOIn wischnja,
im Firefox unter Extras -- Einstellungen -- Datenschutz -- Cache -- Cache löschen, dann Systemwiderherstellung deaktivieren
http://service1.symantec.com/SUPPORT...30807105707924
neustarten Systemwiderherstellung wieder aktivieren
erneut prüfen und berichten
MFG

SUUPER!
Ja das hat geklapt, zu mindestens beim typischen fortgehen taucht es nich wider auf! Scauen wir weiter und bis da hin Danke, Danke, wirklich tolelles Forum udd Leute da!!

Schöne Wochenende

MAx

((( zu früh gefreut ((( ich musste es ahnen (((

Trotzdem ein schönes wochenende ...

mOIn
wo werden den jetzt noch sachen gefunden?
(Quarantäne Ordner? --> inhalt löschen)
MFG