Massig Popup-Spyware/Virus ?!

Dieses Thema im Forum "Viren, Würmer, Spyware" wurde erstellt von Molke, 10.04.2006.

  1. Molke

    Molke Neuer Benutzer

    Dabei seit:
    10.04.2006
    Beiträge:
    5
    Zustimmungen:
    0
    Hallo erstmal,

    Habe jetzt seit einigen Tagen das offensichtlich selbe Problem wie schon viele hier. Ohne geöffneten Browser poppen während ich andere Dinge am Pc tue Popups auf. Inhalte sind meistens Werbungen für Casinoseiten, Klingeltöne oder die neusten Smileyangebote.
    Nach mehrfachem durchlaufen lassen von Adaware und Spybot (die beide immer wieder Spyware entdecken und entfernen, habe ich nun auf hinraten eines Freundes, mich entschlossen mich hier zu melden.
    Nach dem Versuch alleine mit dem Hijackthis zurecht zu kommen ( was offensichtlich nicht so gut funktioniert hat ) hier jetzt meine Logfile:

    Logfile of HijackThis v1.99.1
    Scan saved at 14:45:49, on 10.04.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\savedump.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\htpatch.exe
    C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Dokumente und Einstellungen\Björn\Desktop\HijackThis.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\wuauclt.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
    R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
    F2 - REG:system.ini: UserInit=userinit.exe
    O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SoundMan] soundman.exe
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
    O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
    O4 - HKLM\..\Run: [winlog] winlog.exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard8.exe
    O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad8.exe
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\RunServices: [winlog] winlog.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [qzoq] C:\PROGRA~1\GEMEIN~1\qzoq\qzoqm.exe
    O4 - HKCU\..\Run: [qozq] c:\stub_113_4_0_4_0.exe
    O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
    O4 - Startup: OpenOffice.org 1.1.5.lnk = C:\Programme\OpenOffice.org1.1.5\program\quickstart.exe
    O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
    O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
    O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122391250312
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O20 - Winlogon Notify: BITS - C:\WINDOWS\system32\cbc.dll (file missing)
    O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\dvsapi.dll (file missing)
    O20 - Winlogon Notify: MCD - C:\WINDOWS\system32\m6820gloe6qc0.dll
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

    Die habe ich direkt nach dem Rebooten gemacht, hoffe das mir jemand genauer sagen kann wie ich Probleme beseitigen kann.

    Danke im Vorraus
     
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 Morpheus1805, 10.04.2006
    Morpheus1805

    Morpheus1805 Erfahrener Benutzer

    Dabei seit:
    23.11.2005
    Beiträge:
    3.499
    Zustimmungen:
    0
    Moin!

    Dein Logfile kannst du auf dieser Seite auswerten lassen!

    Fixe folgende Einträge nach dieser Anleitung

    O4 - HKCU\..\Run: [qzoq] C:\PROGRA~1\GEMEIN~1\qzoq\qzoqm.exe

    04 - HKCU\..\Run: [qozq] c:\stub_113_4_0_4_0.exe

    (sind unbekannt, aber sehr verdächtig!! Kennst du diese Einträge?? Sieht verdammt nach Trojaner aus!)

    04 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe

    (den auf jeden Fall fixen!!)

    O20 - Winlogon Notify: BITS - C:\WINDOWS\system32\cbc.dll (file missing)

    O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\dvsapi.dll (file missing)

    unnötig= fixen!!

    O20 - Winlogon Notify: MCD - C:\WINDOWS\system32\m6820gloe6qc0.dll

    ebenfalls sehr verdächtig!! Fixen!!!

    Gehe dazu in den abgesicherten Modus und verfahre wie in Mikes Anleitung!

    Nicht vergessen die entpsrechende Dateien zu suchen und zu löschen!!!

    Zusätzlich lade dir Spybot und AdAware herunter und scanne im abgesicherten Modus und lasse das gefundene entfernen!

    Danach normal hochfahren, Systemwiederherstellung aktivieren und erneutes Logfile erstellen und hier posten!

    Gruss Morpheus
     
  4. Molke

    Molke Neuer Benutzer

    Dabei seit:
    10.04.2006
    Beiträge:
    5
    Zustimmungen:
    0
    Logfile of HijackThis v1.99.1
    Scan saved at 16:34:48, on 10.04.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\savedump.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\htpatch.exe
    C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Dokumente und Einstellungen\Björn\Desktop\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
    R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
    F2 - REG:system.ini: UserInit=userinit.exe
    O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SoundMan] soundman.exe
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
    O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
    O4 - HKLM\..\Run: [winlog] winlog.exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard8.exe
    O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad8.exe
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\RunServices: [winlog] winlog.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [qzoq] C:\PROGRA~1\GEMEIN~1\qzoq\qzoqm.exe
    O4 - HKCU\..\Run: [qozq] c:\stub_113_4_0_4_0.exe
    O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
    O4 - Startup: OpenOffice.org 1.1.5.lnk = C:\Programme\OpenOffice.org1.1.5\program\quickstart.exe
    O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
    O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
    O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122391250312
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\j26mlcj11fo.dll
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe


    na das scheint ja nicht so funktioniert zu haben wie es sollte. Die Dateien die ich Löschen sollte hab ich gelöscht, erst im Hijackthis und dann hab ich sie auch noch gesucht und manuell gelöscht. Allerdings habe ich einige der Dateien nicht gefunden und offensichtlich hat es bei denen die ich gefunden habe nichts gebracht.
     
  5. #4 Morpheus1805, 10.04.2006
    Morpheus1805

    Morpheus1805 Erfahrener Benutzer

    Dabei seit:
    23.11.2005
    Beiträge:
    3.499
    Zustimmungen:
    0
    Moin!

    Warst du im abgesicherten Modus???

    Hast du die Systemwiederherstellung auf allen Laufwerken deaktiviert?

    Spybot und Adaware im abgesicherten Modus mal drüberrennen lassen?

    Gruss Morpheus
     
  6. Molke

    Molke Neuer Benutzer

    Dabei seit:
    10.04.2006
    Beiträge:
    5
    Zustimmungen:
    0
    jawoll, Abgesicherter Modus, vorher auf allen Laufwerken die Systemwiederherstellung deaktiviert. Adaware und Spybot haben gesagt sie müssten jeweils 1 Datei beim Neustart beheben, was sie dann aber nicht getan haben.
    Dannach sofort reboot und neue Logfile erstellt.
     
  7. #6 Morpheus1805, 10.04.2006
    Morpheus1805

    Morpheus1805 Erfahrener Benutzer

    Dabei seit:
    23.11.2005
    Beiträge:
    3.499
    Zustimmungen:
    0
    Moin!

    Wie bist du beim "fixen" vorgegangen?

    Eventuell musst beim Suchen unter Extras>Ordneroptionen>Ansicht ein paar Veränderungen vornehmen! Versteckte Dateien anzeigen, Geschützte System Dateien anzeigen, Inhalte von Systemdateien anzeigen!

    Das ist sehr seltsam und spricht eigentlich dafür, dass du ein ernsteres Problemchen hast!

    O4 - HKCU\..\Run: [qzoq] C:\PROGRA~1\GEMEIN~1\qzoq\qzoqm.exe

    O4 - HKCU\..\Run: [qozq] c:\stub_113_4_0_4_0.exe

    O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\j26mlcj11fo.dll

    O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe

    Die ersten drei Einträge bedeuten nichts gutes! Das ist mit Sicherheit ein Trojaner!

    Gruss Morpheus
     
  8. Molke

    Molke Neuer Benutzer

    Dabei seit:
    10.04.2006
    Beiträge:
    5
    Zustimmungen:
    0
    Ich bin beim "fixen" vorgegangen wie in der Anleitung geschrieben. Also erst Systemwiederherstellung deaktivieren, dann abgesicherter Modus, dort dann die Dateien mit Hilfe von hijackthis entfernen und dannach nach den Dateien manuell gesucht um sie zu löschen.
    Dannach wie du schon sagtest Adaware und Spybot durchlaufen lassen.

    Ich test es jetzt nochmal, hab Ordneroptionen bissl umgetüftelt und hoff das es jetzt klappt.

    Danke für deine Hilfe soweit. Ich stell, wenn ich fertig bin, wieder ne Logfile hier rein
     
  9. #8 Morpheus1805, 10.04.2006
    Morpheus1805

    Morpheus1805 Erfahrener Benutzer

    Dabei seit:
    23.11.2005
    Beiträge:
    3.499
    Zustimmungen:
    0
    Ok, mache das!

    Ordneroptionen nur im abgesicherten Modus einstellen, wenn keine Internetverbindung besteht! Nicht vergessen wieder umzustellen!

    Wer weiss, vorsicht ist besser als Nachsicht!!

    Bin gleich erstmal auf der Maloche (ab 17.45) , komme später aber nochmal rein und schaue wie weit du bist!

    MikeHH ist ein sehr bewandter in diesen Dingen!! Wenn er nicht von selbst einschreitet, dann schreibe ihm mal ne PN!

    Wenn er dir nicht helfen kann, dann bleibt nur eins "Neuninstallation" !!

    Ist aber bei einem komprmittierten System eh zu empfehlen!

    Gruss Morpheus
     
  10. AdMan

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  11. Molke

    Molke Neuer Benutzer

    Dabei seit:
    10.04.2006
    Beiträge:
    5
    Zustimmungen:
    0
    Logfile of HijackThis v1.99.1
    Scan saved at 17:26:10, on 10.04.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\savedump.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\htpatch.exe
    C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Dokumente und Einstellungen\Björn\Desktop\HijackThis.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\wuauclt.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
    R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
    F2 - REG:system.ini: UserInit=userinit.exe
    O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SoundMan] soundman.exe
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
    O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
    O4 - HKLM\..\Run: [winlog] winlog.exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard8.exe
    O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad8.exe
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\RunServices: [winlog] winlog.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [qzoq] C:\PROGRA~1\GEMEIN~1\qzoq\qzoqm.exe
    O4 - HKCU\..\Run: [qozq] c:\stub_113_4_0_4_0.exe
    O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
    O4 - Startup: OpenOffice.org 1.1.5.lnk = C:\Programme\OpenOffice.org1.1.5\program\quickstart.exe
    O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
    O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
    O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122391250312
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O20 - Winlogon Notify: URL - C:\WINDOWS\system32\lvj8091ue.dll
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe



    und wieder sind sie da.
    Ich bekomm übrigenz keinen Zugriff auf den "system32" Ordner indem sich das ein oder andere Problem verbirgt wie es aussieht.
    Ausserdem habe ich keine qzoqm.exe gefunden, sondern nur eine mit anderer Dateiendung. Den stub_113_4_0_4_0.exe habe ich auch nicht gefunden.
    paytime.exe ebenfalls nicht auffindbar.
    Also eigentlich scheint das ganze nichts gebracht zu haben.
     
  12. MikeHH

    MikeHH Erfahrener Benutzer

    Dabei seit:
    04.11.2005
    Beiträge:
    2.829
    Zustimmungen:
    0
    Leider keine guten Nachrichten. Paytime.exe ist ein Trojaner. Damit ist Dein System kompromittiert und kann in keinster Weise mehr als sicher eingestuft werden. Dann finde ich es merkwürdig, warum Windows-Update hier zweimal am Laufen ist.

    Da hilft nur noch Systempartition formatieren und XP neu aufsetzen.

    Beim Neuaufsetzen nutze bitte nicht den ATI-Catalyst 6.3, sondern 6.2. In der 6.3er Version ist das CCC nicht zum Laufen zu bekommen.

    Dann schalte unter <Start> <Ausführen> msconfig <OK> alles bei den Systemstartelementen UND Diensten ab, was mit ATI zu tun hat. Das braucht man nicht beim Systemstart.

    Spybot zu nutzen ist zum Check eine gute Sache. Aber bitte nicht den TeaTimer. Und Java ist notwendig, nicht aber die automatische Updatefunktion.

    Gruß Mike
     
Thema:

Massig Popup-Spyware/Virus ?!

Die Seite wird geladen...

Massig Popup-Spyware/Virus ?! - Ähnliche Themen

  1. Ist ein Virus möglich, der die Hardware beschädigt?

    Ist ein Virus möglich, der die Hardware beschädigt?: Hallo Leute, seit geraumer Zeit beschäftigt mich die Frage, ob ein Virus in der Lage sein kann, physischen Schaden an einem Desktop-PC...
  2. AdChoices Werbungen-Virus oder nur Banner mit Links?

    AdChoices Werbungen-Virus oder nur Banner mit Links?: Guten Tag. Meine Frage ist: ich verstehe nicht ob Werbungsfenster vom AdChoices ein Virus ist? Letzte Zeit erscheinen sie zu oft auf meinem...
  3. Bundespolizei Virus

    Bundespolizei Virus: Hi, Vorgestern wurde ich beim Surfen im Internet auf einmal auf eine Seite weitergeleitet, auf der stand, ich haette mir angeblich Seiten mit...
  4. Virus oder Trojaner?

    Virus oder Trojaner?: ich brauche unbedingt hilfe. seit ein paar tagen streikt mein laptop total, sobald er hochgefahren ist öffnen sich fenster. ich wollte daher...
  5. Virus trojaner entfernen

    Virus trojaner entfernen: Hallo Welsches Programm ist gut Für trojaner oder virus zu entferenne? Oder soll ich mit linux die Daten sichern! danke