Nervige Werbepopups!
 

Hallo liebe Trojaner-Killer!

Auf meinem Rechner befindet sich eine Malware, die mir ständig Popups mit Werbung öffnet und auf außerdem darauf hinweist, Antivir2009 zu kaufen. Hier mein Hijack-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:35:43, on 23.10.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\cisvc.exe
C:\WINNT\system32\svchost.exe
C:\Programme\NetTime\NeTmSvNT.exe
C:\WINNT\system32\nvsvc32.exe
C:\Programme\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
C:\Programme\Panda Software\Panda Administrator 3\Pav_Agent\pagentwd.exe
C:\Programme\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\AVTC\PavSrv50.exe
C:\Programme\Panda Software\AVTC\PSKMsSvc.exe
C:\Programme\Panda Software\AVTC\AVENGINE.EXE
C:\Programme\Panda Software\AVTC\PsImSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINNT\system32\cidaemon.exe
C:\Programme\Panda Software\Panda Administrator 3\PavReport\PavReport.exe
C:\WINNT\Explorer.EXE
C:\Programme\Panda Software\AVTC\ClShield.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\internat.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Panda Software\AVTC\SRVLOAD.EXE
C:\Programme\Panda Software\AVTC\WebProxy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KJRNIOT5\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.xxx.net:8080
O2 - BHO: (no name) - {01BCCA20-26DD-4C0E-A3C7-99FB19EB604f} - C:\WINNT\system32\kmyftqxo.dll (file missing)
O2 - BHO: {40c164ba-fd8e-058b-7bb4-6f462da9abd0} - {0dba9ad2-64f6-4bb7-b850-e8dfab461c04} - C:\WINNT\system32\zapify.dll
O2 - BHO: (no name) - {3799441A-26DD-4C0E-A3C7-99FB19EB604f} - C:\WINNT\system32\kmyftqxo.dll (file missing)
O2 - BHO: (no name) - {37BD54FA-47E8-4887-B097-B47E61ABAA7F} - C:\WINNT\system32\wvULcaAr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {E25EE903-37EB-467B-B1F0-F71063F6B8C8} - C:\WINNT\system32\mlJCRHAs.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\AVTC\ClShield.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [5433d96c] rundll32.exe "C:\WINNT\system32\rxtxiirh.dll",b
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140455454750
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - hxxp://www.o2c.de/download/O2CPlayer.CAB
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = charivari-muenchen.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = charivari-muenchen.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = charivari-muenchen.de
O20 - AppInit_DLLs: zapify.dll
O20 - Winlogon Notify: mlJCRHAs - C:\WINNT\SYSTEM32\mlJCRHAs.dll
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NetTime (NetTimeSvc) - Subjective Software - C:\Programme\NetTime\NeTmSvNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Panda Software - C:\Programme\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Panda Software - C:\Programme\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Programme\Panda Software\Panda Administrator 3\PavReport\PavReport.exe
O23 - Service: Panda Antivirus Service (PavSrv) - Panda Software International - C:\Programme\Panda Software\AVTC\PavSrv50.exe
O23 - Service: Panda AntiSpam Engine (PMShellSrv) - Panda Software International - C:\Programme\Panda Software\AVTC\PSKMsSvc.exe
O23 - Service: Panda IManager Service (PsImSvc) - Panda Software Internacional - C:\Programme\Panda Software\AVTC\PsImSvc.exe
O24 - Desktop Component 0: (no name) - hxxp://www.rt.boerse-stuttgart.de/charts/boerse_stuttgart_chart_detail?symbol=AB1.STU&hist=0&vol=off
O24 - Desktop Component 1: (no name) - hxxp://www.rt.boerse-stuttgart.de/charts/boerse_stuttgart_chart_detail?symbol=N8T.STU&hist=1&vol=off
O24 - Desktop Component 10: (no name) - hxxp://www.rt.boerse-stuttgart.de/charts/small_chart_intraday.chart?symbol=DAX.09002000.ETR
O24 - Desktop Component 2: (no name) - hxxp://www.rt.boerse-stuttgart.de/charts/boerse_stuttgart_chart_detail?symbol=AB1.STU&hist=1&vol=off
O24 - Desktop Component 3: (no name) - hxxp://www.podhost.de/userpanel/stats_overview_files.php
O24 - Desktop Component 4: (no name) - hxxp://www.rt.boerse-stuttgart.de/charts/boerse_stuttgart_chart_detail?symbol=LU0103598305.FSE&hist=0&vol=off
O24 - Desktop Component 5: (no name) - hxxp://www.rt.boerse-stuttgart.de/charts/boerse_stuttgart_chart_detail?symbol=N8T.STU&hist=0&vol=off
O24 - Desktop Component 6: (no name) - hxxp://www.rt.boerse-stuttgart.de/charts/boerse_stuttgart_chart_detail?symbol=PRE.STU&hist=0&vol=off
O24 - Desktop Component 7: (no name) - hxxp://www.rt.boerse-stuttgart.de/charts/boerse_stuttgart_chart_detail?symbol=BMW.STU&hist=0&vol=off
O24 - Desktop Component 8: (no name) - hxxp://www.rt.boerse-stuttgart.de/charts/boerse_stuttgart_chart_detail?symbol=PRE.STU&hist=0&vol=off&LANG=de
O24 - Desktop Component 9: (no name) - hxxp://www.rt.boerse-stuttgart.de/charts/boerse_stuttgart_chart_detail?symbol=APC.STU&hist=0&vol=off&LANG=de

--
End of file - 8531 bytes

Für Eure Hilfe bedanke ich mich jetzt schon!

ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)