Seba007

Also ich hab mir gerade eben Spybot S&D geladen und durchlaufen lassen.
Er fand "Smitfraund-C. Toolbar888" hab halt dan Makierte Problemme beheben gedrückt und dan nochma durchlaufen lassen.
tata .... und der scheiß ist wider da ich also wieder beheb und nochma durclaufen lassen UND DER SCHEI? IST WIEDER DA.
was soll ich nu machen???

und dan sagt kaspersky immer winlogo.exe verucht auf andere prozesse zu greifen
[potentiell gefährliche software Invader]
habs erstma verboten


brauch dringend hilfe

Hier ist ma mein HijackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:48:37, on 14.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Generic\USB Card Reader Driver v2.2e5\FlashIcon.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Sebi\LOKALE~1\Temp\Rar$EX00.688\Hijack This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {25098030-6E47-4F92-8884-09D966B1BA6B} - C:\WINDOWS\system32\vtuts.dll
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\system32\rxxvgjcn.dll
O2 - BHO: (no name) - {9D7EF71F-92F4-4E1E-93DE-E21436E4C815} - C:\WINDOWS\system32\gebyywv.dll (file missing)
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [FlashIcon] C:\Programme\Generic\USB Card Reader Driver v2.2e5\FlashIcon.EXE
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [PrintDrive] rundll32.exe "C:\WINDOWS\system32\syxgyflm.dll",setvm
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsof...?1176054679250
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1176054664375
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: gebyywv - gebyywv.dll (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: vtuts - C:\WINDOWS\system32\vtuts.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

wolfheart

Hey Seba007,

mach mal Folgendes:

- Du deaktivierst Deine Systemwiederherstellung und gehst in den abgesicherten Modus.
Das geht so:
http://www.bsi.de/av/texte/wiederher_xp.htm
- dann läßt Du Kaspersky und Spybot nochmal Deine Festplatte checken. Und wenn Du willst auch noch dieses Programm unter diesem Link laden und auch checken lassen, was auf Deinem System zu finden geht
http://www.emsisoft.de/de/software/free/
- das was gefunden wird löschen
- dann Neustart
- Systemwiederherstellung unbedingt wieder aktivieren

Wichtig ist die Sache mit der Systemwiederherstellung. Wenn Du die nicht deaktivierst und dann infizierte Dateien löschst, dann werden manchmal von der Systemwiederherstellung zusammengebastelt, weil die denkt es wären defekte Dateien!

EazyE

Gegen Smitfraud hilft übrigens das (sollte der von wolfheart beschriebene Weg nicht helfen):
http://siri.urz.free.fr/Fix/SmitfraudFix_De.php


Mit dem Winlogon stimmt bei dir auch etwas nicht:

Fehlende Datei:
O20 - Winlogon Notify: gebyywv - gebyywv.dll (file missing)

O2 - BHO: (no name) - {9D7EF71F-92F4-4E1E-93DE-E21436E4C815} - C:\WINDOWS\system32\gebyywv.dll (file missing)

Anscheinend Virus:
O20 - Winlogon Notify: vtuts - C:\WINDOWS\system32\vtuts.dll

O2 - BHO: (no name) - {25098030-6E47-4F92-8884-09D966B1BA6B} - C:\WINDOWS\system32\vtuts.dll

Das solltest du mit Hijackthis entfernen (häkchen setzen, fix checked anklicken)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

UNBEKANNT (könnte Virus sein):
O4 - HKLM\..\Run: [PrintDrive] rundll32.exe "C:\WINDOWS\system32\syxgyflm.dll",setvm

O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\system32\rxxvgjcn.dll

Seba007

Danke für die Hilfe,
werd den pc jetzt erstma formatieren und dan xp neu installieren.
Noch ne frage:
Was ist besser:
Norten Internet Security
oder
Kaspersky Internet Security
?????

julchri

Hallo,
ich würde Dir zu Kaspersky raten. Norton hatte ich auch schon, ist auch nicht schlecht, bekommst Du aber sehr schwer wieder runter.

wolfheart

...unterschreibe ich immer wieder ungesehen! Kaspersky ist einfach gut! Außerdem macht Norton Dein System langsamer als nötig! Ich ertrage auch jede Minute des Booten demütig im Dienste der Sicherheit. Aber nur deswegen Zeit zu verlieren, weil es ein Programm für nötig ansieht sich in meine Festplatte zu fressen - nein das ist nicht nötig.

Kaspersky gegen Norton: 1-0