Trojaner-Board - Aufblitzende Werbe Seiten Sexsearch etc..Wie bekomme ich das weg??

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Aufblitzende Werbe Seiten Sexsearch etc..Wie bekomme ich das weg?? (https://www.trojaner-board.de/15741-aufblitzende-werbe-seiten-sexsearch-etc-bekomme-weg.html)

Aufblitzende Werbe Seiten Sexsearch etc..Wie bekomme ich das weg??

Servus Leute!
Habe ein Problem, nämlich blitzt bei Internet Explorer klicken bzw irgendwelche Seiten besuchen immer 3-4 Werbe seiten auf. Zb Sexsearch, Gamblingboard, hooward oder so ähnlich! Echt nervend. Ich hab mal fix ein Logfile gemacht, bitte betrachtet mal und gibt mir rat!

Logfile of HijackThis v1.99.1
Scan saved at 22:35:05, on 22.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\NetPumper\NetPumperIEProxy.exe
D:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\windows\system32\ehentq.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\windows\system32\packager.exe
C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\ap9h4qmo.exe
D:\Programme\HLSW\hlsw.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Winace\WinAce.exe
C:\DOKUME~1\Enrico\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = www.google.de
O2 - BHO: BTGrabObj Class - {00000000-F09C-02B4-6EC2-AD0300000000} - C:\WINDOWS\BTGrab.dll
O2 - BHO: CeresObj Class - {00000049-8F91-4D9C-9573-F016E7626484} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: RsyncHlpr Class - {16B238D5-80DE-47CE-8F17-B3ECE2C2248D} - C:\WINDOWS\System32\rsyncmon.dll
O2 - BHO: ohb - {22B720C7-5FA6-40A8-9F8F-8584BF669690} - C:\WINDOWS\System32\trgen.dll
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - (no file)
O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\System32\rtneg2.dll
O2 - BHO: ohb - {CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01} - C:\WINDOWS\System32\dsktrf1.dll
O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)
O3 - Toolbar: Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NetPumper] "D:\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [PC Firewall Professional] D:\PROGRA~1\BUHLDA~1\PCFIRE~1\sfw.exe /waitservice
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [WinsysRsr] C:\Programme\Wsr\WinsysRsr.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [RSync] C:\WINDOWS\System32\netsync.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ehentq] c:\windows\system32\ehentq.exe
O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Shareaza] "D:\Programme\Shareaza\Shareaza.exe" -tray
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NewShortcut4.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe
O8 - Extra context menu item: Download with NetPumper - D:\NetPumper\AddUrl.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - D:\PROGRA~1\BUHLDA~1\PCFIRE~1\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - D:\PROGRA~1\BUHLDA~1\PCFIRE~1\TRASH.EXE (HKCU)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {483912CF-8995-4434-AD61-6163756E05DF} (AXTNS Control) - http://download.livemath.com/activex/AXTNS.ocx
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn.co...s/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1106772177280
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite...ITDetector.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3EC3EBBF-2BDF-4C34-9DE1-7B18D00C4FCA}: NameServer = 217.65.24.98 212.80.224.161
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SFirewall Service (SFirewall) - Unknown owner - D:\PROGRA~1\BUHLDA~1\PCFIRE~1\sfw.exe

Habe schon versucht mit Ad aware etc wegzubekommen, wird aber net viel gelöscht :(. Also Hilfe, grüße kim :heulen:

Hallo,

http://www.trojaner-board.de/showthread.php?t=14793

Das hättest Du Dir alles ersparen können.

dartus

Ich weiß ja nicht was du, Dartus, meinst, aber dieser Log stammt von meinen Rechner und der andere Beitrag war von einen Fremdrechner. Und ich habe nicht dieselbe Probleme wie mein Kumpel. Kannst du Trotzdem was dazu sagen außer auf weitere links zu zeigen? Grüße

Hallo,

das war aber in Deinen Postings nicht zu erkennen.
Auf Deinem Rechner ist jedenfalls einiges drauf, deshalb:

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Führe bitte dies aus:
1. Downloade Dir escan und befolge genau diese Anleitung (Scan IM ABGESICHERTEN MODUS dauert etwa eine Stunde),http://www.systemwiederherstellung-d...indows-xp.html
2. starte nach dem Scan wieder in den normalen Modus dauert,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.

dartus

Hallo,

ich habe das gleiche Problem. Hatte ich auch schon hier beschrieben:

http://www.powerforen.de/forum/showthread.php?t=175611

Nun habe ich diesen Beitrag hier gefunden und mal eben diesen E-Scan gemacht. Allerdings nicht im abgesicherten Modus, ist nicht mein Laptop. Letztens hatte ich Probleme aus dem abgesicherten wieder zurück zu kommen :crazy:

Hier mal der Log:

C:\WINDOWS\isrvs\desktop.exe infected by "not-a-virus:AdWare.ToolBar.ISearch.d" Virus. Action Taken: No Action Taken.

C:\WINDOWS\system32\ic2_win.dll infected by "not-a-virus:AdWare.ToolBar.Ilookup.b" Virus. Action Taken: No Action Taken.

C:\WINDOWS\isrvs\desktop.exe infected by "not-a-virus:AdWare.ToolBar.ISearch.d" Virus. Action Taken: No Action Taken

System found infected with kapabout Spyware/Adware! Action taken: No Action Taken.

File System Found infected by "kapabout Spyware/Adware" Virus. Action Taken: No Action Taken.

C:\WINDOWS\ceres.dll infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.

C:\WINDOWS\ceres.dll_tobedeleted infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.

C:\WINDOWS\system32\BundleLite_westfrontier1001.exe infected by "not-a-virus:AdWare.Sahat.m" Virus. Action Taken: No Action Taken.

C:\WINDOWS\system32\desktrf-b2s.exe infected by "not-a-virus:AdWare.Beginto.b" Virus. Action Taken: No Action Taken.

C:\WINDOWS\system32\dsktrf.dll infected by "not-a-virus:AdWare.Beginto.b" Virus. Action Taken: No Action Taken.

C:\WINDOWS\system32\thin-94-5-x-x.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.

C:\DOKUME~1\FRIEDH~1\LOKALE~1\Temp\B125088277\build2.exe infected by "not-a-virus:AdWare.ToolBar.ISearch.d" Virus. Action Taken: No Action Taken.

:C:\DOKUME~1\FRIEDH~1\LOKALE~1\Temp\cxtpls_loader.exe infected by "Trojan-Downloader.Win32.Apropo.r" Virus. Action Taken: No Action Taken.

C:\DOKUME~1\FRIEDH~1\LOKALE~1\Temp\idcs50202.exe infected by "not-a-virus:AdWare.ToolBar.ISearch.d" Virus. Action Taken: No Action Taken.

C:\DOKUME~1\FRIEDH~1\LOKALE~1\Temp\idcs50202.exe infected by "not-a-virus:AdWare.ToolBar.ISearch.d" Virus. Action Taken: No Action Taken.

C:\DOKUME~1\FRIEDH~1\LOKALE~1\Temp\II3.tmp infected by "not-a-virus:AdWare.ToolBar.HotSearchBar.c" Virus. Action Taken: No Action Taken.

C:\DOKUME~1\FRIEDH~1\LOKALE~1\Temp\II37.tmp infected by "not-a-virus:AdWare.ToolBar.HotSearchBar.c" Virus. Action Taken: No Action Taken.

C:\DOKUME~1\FRIEDH~1\LOKALE~1\Temp\II3A.tmp infected by "not-a-virus:AdWare.ToolBar.HotSearchBar.c" Virus. Action Taken: No Action Taken.

C:\DOKUME~1\FRIEDH~1\LOKALE~1\Temp\II40.tmp infected by "Trojan-Downloader.Win32.Apropo.r" Virus. Action Taken: No Action Taken.

C:\DOKUME~1\FRIEDH~1\LOKALE~1\Temp\II5.tmp infected by "not-a-virus:AdWare.ToolBar.HotSearchBar.c" Virus. Action Taken: No Action Taken.

C:\DOKUME~1\FRIEDH~1\LOKALE~1\Temp\II56.tmp infected by "not-a-virus:AdWare.ToolBar.HotSearchBar.c" Virus. Action Taken: No Action Taken.

C:\DOKUME~1\FRIEDH~1\LOKALE~1\TEMPOR~1\Content.IE5\2DQRGT07\cpdef2[2].exe infected by "Trojan-Downloader.Win32.Apropo.r" Virus. Action Taken: No Action Taken.

Für Hilfe und weitere Informationen wäre ich dankbar !!

Gruß cookie Neuling :)

Leere Temp.Internet-Files und Temp-Ordner.

Die restlichen Dateien lösche manuell im abg. Modus.

Danke für deine Antwort, aber kann ich alle anderen Dateien ausserhalb des Temp Ordners einfach bedenkenlos löschen?

Gruß cookie :dummguck:

Zitat:

Danke für deine Antwort, aber kann ich alle anderen Dateien ausserhalb des Temp Ordners einfach bedenkenlos löschen?

Da es sich um Spyware bzw. Adware handelt solltest du sie schon löschen ;)

Poste außerdem folgendes aus der c:\bases\mwav.log (steht ganz am Ende):

Zitat:

Total Number of Files Scanned:
Total Number of Virus(es) Found:
Total Number of Disinfected Files:
Total Number of Files Renamed:
Total Number of Deleted Files:
Total Number of Errors:
Time Elapsed:

Hallo,

a)

ich habe Alles gelöscht und noch mal einen e-scan gemacht. Ich bekomme noch eine Warnmeldung, aber dort ist ja kein Pfad oder Ähnliches angegeben:

Zitat:

Sun Mar 27 19:04:38 2005 => Scanning File C:\WINDOWS\system32\JAVASUP.VXD
Sun Mar 27 19:04:47 2005 => System found infected with kapabout Spyware/Adware! Action taken: No Action Taken.
Sun Mar 27 19:04:47 2005 => File System Found infected by "kapabout Spyware/Adware" Virus. Action Taken: No Action Taken.

Zitat:

Sun Mar 27 19:08:21 2005 => ***** Scanning complete. *****

Sun Mar 27 19:08:21 2005 => Total Files Scanned: 4646
Sun Mar 27 19:08:21 2005 => Total Virus(es) Found: 1
Sun Mar 27 19:08:21 2005 => Total Disinfected Files: 0
Sun Mar 27 19:08:21 2005 => Total Files Renamed: 0
Sun Mar 27 19:08:21 2005 => Total Deleted Files: 0
Sun Mar 27 19:08:21 2005 => Total Errors: 3
Sun Mar 27 19:08:21 2005 => Time Elapsed: 00:04:21
Sun Mar 27 19:08:21 2005 => Virus Database Date: 2005/03/24
Sun Mar 27 19:08:21 2005 => Virus Database Count: 123152

c) Beim Hochfahren kommt immer noch eine Fehlermeldung:

Problem mit netsync.exe ... comoss.dll fehlt

Kann jemand helfen? Gruß und Dank im voraus. :balla:

Zitat:

Sun Mar 27 19:08:21 2005 => ***** Scanning complete. *****

Sun Mar 27 19:08:21 2005 => Total Files Scanned: 4646
Sun Mar 27 19:08:21 2005 => Total Virus(es) Found: 1
Sun Mar 27 19:08:21 2005 => Total Disinfected Files: 0
Sun Mar 27 19:08:21 2005 => Total Files Renamed: 0
Sun Mar 27 19:08:21 2005 => Total Deleted Files: 0
Sun Mar 27 19:08:21 2005 => Total Errors: 3
Sun Mar 27 19:08:21 2005 => Time Elapsed: 00:04:21
Sun Mar 27 19:08:21 2005 => Virus Database Date: 2005/03/24
Sun Mar 27 19:08:21 2005 => Virus Database Count: 123152

-> http://www.trojaner-board.de/showpos...22&postcount=4
Für dich gilt das gleiche.

Poste außerdem ein HijackThis Logfile:
Direktdownload
kurze Beschreibung
ausführliche Beschreibung

Hallo Haui,

danke zunächst für deine Unterstützung.

Hier der Logfile:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 19:25:04, on 27.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\DOKUME~1\FRIEDH~1\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\FRIEDH~1\LOKALE~1\Temp\kavss.exe
C:\WINDOWS\system32\notepad.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\All Users\Dokumente\Virusproblem\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://register.hp.com/servlet/WebReg.servlets.ProdReg1Servlet?appID=java_wreg_wreg_genpg&product_name=HP%20compaq%20nx7000%20(DG706A#ABD)&PROD_SERIAL_ID=CND34802TJ&PURCH_DT_MONTH=1 2&PURCH_DT_DAY=17&PURCH_DT_YEAR=2003&gwCountry=DE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: RsyncHlpr Class - {16B238D5-80DE-47CE-8F17-B3ECE2C2248D} - C:\WINDOWS\system32\rsyncmon.dll
O2 - BHO: ohb - {22B720C7-5FA6-40A8-9F8F-8584BF669690} - C:\WINDOWS\system32\trgen.dll
O3 - Toolbar: (no name) - {DB43E4E6-FF8A-4018-8C8E-F68587A44A73} - (no file)
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [RSync] C:\WINDOWS\system32\netsync.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open Image in New Window - res://C:\PROGRA~1\PopUpCop\popupcop.dll/imagenew
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: PsShutdown (PsShutdownSvc) - Unknown owner - C:\WINDOWS\System32\PSSDNSVC.EXE

Ich überprüfe gleich noch mal ob ich alle Haken richtig aktiviert habe.
Wenn ich in den abgesicherten Modus gehe, muss ich doch vorher die Systemwiederherstellung deaktivieren, aber wie bekomme ich die im abgesicherten Modus wieder an. Dort gibt es doch kein "AUSFÜHREN" im Startmenü?

cookie :dummguck:

die syswiederherstellung kann man nur im normalen modus aktivieren

Führe bitte erst den eScan durch und poste dann das Ergebnis. Dann erledigen wir die Bereinigung.

Zitat:

Wenn ich in den abgesicherten Modus gehe, muss ich doch vorher die Systemwiederherstellung deaktivieren,

Nein.

Zitat:

aber wie bekomme ich die im abgesicherten Modus wieder an.

Warum?

Zitat:

Dort gibt es doch kein "AUSFÜHREN" im Startmenü?

Das wäre mir neu (Win-Taste + R)

Zitat:

Zitat von The Don - D.R.

die syswiederherstellung kann man nur im normalen modus aktivieren

Ich weiß nur das ich sie letztens im normalen Modus deaktiviert hatte und dann bin ich aus dem abgesicherten Modus nicht mehr rausgekommen.

PS: Scane gerade noch einmal, nun findet er noch mehr infizierte Dateien mit den neuen Einstellungen

cookie

Zitat:

PS: Scane gerade noch einmal,

Zweit-PC?
Wenn nicht, abbrechen und im abgesicherten Modus wiederholen.

Zitat:

nun findet er noch mehr infizierte Dateien mit den neuen Einstellungen

Natürlich, weil er jetzt alles scannt.

Ich habe keinen Zweit PC, werde auch noch mal im abgesicherten Modus starten, wenn ich nachher mehr Zeit habe. Muss noch einmal los. Scan läuft nun noch einmal so.

Im Win/System32 Ordner sehe ich alle Icons die immer von dem Virus auf dem Desktop angelegt werden. Dort sind eine Menge Dateien die dazu gehören.

Poste gleich den Scan wenn er fertig ist, dauert schon über 30 Minuten.

cookie :)

Ich habe zunächst soweit alles manuell löschen können. Ausser ein paar Dateien mit diesem Pfad hier, der Wird mir im Dateiexporer nicht angezeigt. Muss ich dafür in Ms Dos wechseln?

Zitat:

C:\System Volume Information\_restore{901BD9EC-42C6-4307-B24E-97B7AB4A7E38}\RP1\A0004081.dll infected by "not-a-virus:AdWare.ToolBar.HotSearchBar.c" Virus. Action Taken: No Action Taken.

Ausserdem hier noch mal die Zusammenfassung, um die Errors habe ich mich nicht gekümmt?

Zitat:

Sun Mar 27 20:38:24 2005 => ***** Scanning complete. *****

Sun Mar 27 20:38:24 2005 => Total Files Scanned: 49068
Sun Mar 27 20:38:24 2005 => Total Virus(es) Found: 35
Sun Mar 27 20:38:24 2005 => Total Disinfected Files: 0
Sun Mar 27 20:38:24 2005 => Total Files Renamed: 0
Sun Mar 27 20:38:24 2005 => Total Deleted Files: 0
Sun Mar 27 20:38:24 2005 => Total Errors: 94
Sun Mar 27 20:38:24 2005 => Time Elapsed: 01:03:09
Sun Mar 27 20:38:24 2005 => Virus Database Date: 2005/03/24
Sun Mar 27 20:38:24 2005 => Virus Database Count: 123152

Was nun? Gruß und Dank für eure Hilfe

cookie :balla:

Poste bitte, was genau von eScan gefunden wurde.

Deaktiviere die Systemwiederherstellung.

Boote in den abgesicherten Modus und fixe mit HijackThis:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://register.hp.com/servlet/WebR...D=java_wreg_wr eg_genpg&product_name=HP%20compaq%20nx7000%20(DG706A#ABD)&PROD_SERIAL_ID=CND34802
TJ&PURCH_DT_MONTH=12&PURCH_DT_DAY=17&PURCH_DT_YEAR=2003&gwCountry=DE (außer es sagt dir irgendwas)

O2 - BHO: RsyncHlpr Class - {16B238D5-80DE-47CE-8F17-B3ECE2C2248D} - C:\WINDOWS\system32\rsyncmon.dll
O2 - BHO: ohb - {22B720C7-5FA6-40A8-9F8F-8584BF669690} - C:\WINDOWS\system32\trgen.dll

O3 - Toolbar: (no name) - {DB43E4E6-FF8A-4018-8C8E-F68587A44A73} - (no file)

O4 - HKLM\..\Run: [RSync] C:\WINDOWS\system32\netsync.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe

O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll

O23 - Service: PsShutdown (PsShutdownSvc) - Unknown owner - C:\WINDOWS\System32\PSSDNSVC.EXE (siehe unten)

lösche manuell:
C:\WINDOWS\isrvs
C:\WINDOWS\system32\netsync.exe
C:\WINDOWS\system32\rsyncmon.dll
C:\WINDOWS\system32\trgen.dll
C:\WINDOWS\System32\PSSDNSVC.EXE (siehe unten)
die restlichen von eScan beanstandeten Dateien.

Neustart und Systemwiederherstellung wieder aktivieren.

Neues Logfile und die Virus-Log-Information von eScan posten.

Scanne die Datei C:\WINDOWS\System32\PSSDNSVC.EXE online bei http://virusscan.jotti.org/de
Falls sie infiziert sein sollte, den Eintrag fixen und löschen. Falls nicht, bitte bei www.malwareupload.com hochladen und die Antwort abwarten (bis dahin nicht fixen oder löschen).

Guten Morgen Haui,

ich habe die Datei Hochgeladen und scannen lasssen:

Zitat:

Datei: PSSDNSVC.EXE
Status:
EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)

Alle anderen Einträge habe ich gelöscht:

Zitat:

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Virusproblem\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-tv.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: PsShutdown (PsShutdownSvc) - Unknown owner - C:\WINDOWS\System32\PSSDNSVC.EXE

Soll ich denn wenn wir fertig sind den IE noch mal wieder benutzen um zu sehen ob alles wieder richtig funktioniert? Wäre ich schon gespannt daruaf. Bin jetzt mit Firefox online.

Cu cookie :)

Zitat:

Soll ich denn wenn wir fertig sind den IE noch mal wieder benutzen um zu sehen ob alles wieder richtig funktioniert?

Kannst du machen, aber keine dubiosen Seiten besuchen.
Log ist soweit sauber.
btw: am besten nur noch mit FF "surfen".

EDIT: hast du die Datei auch bei www.malwareupload.com hochgeladen? Ergebnis?

Nein habe ich nicht, komme nun auch die nächsten Tage nicht an den Laptop ran.

Danke für deine Hilfe. Ich melde mich wieder wenn ich den IE noch mal benutz habe.

Gruß cookie :bussi:

Ich hatte auch geraume Zeit Probleme mit der Hotsearchbar bis man mir XOFTSPY empfohlen hat und ich es auch mit Erfolg angewendet habe. Nun ist alles wieder normal und meine gewohnte Seite geht beim öffnen vom Explorer auf,,Gott sei Dank!! :kloppen: