Forum
Tipps
News
Menu-Icon

hijackthis - log

kann jemand was hiermit anfangen?
ich bekomme in unregelnmaessigen abstaenden die aufforderung ein "sicherheitstool" zu installieren um mich vor der boesen spyware zu schuetzen. mit adaware, spybot s&d, cwshredder und avg antivir bekomme ich es nicht weg. und im HJT-log kann ich nichts erkennen?!

Logfile of HijackThis v1.99.1
Scan saved at 23:08:14, on 14.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRAMME\ADMINISTRATOR\acadma.exe
C:\AVGFRE~1\avgamsvr.exe
C:\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\standard\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{0920C573-3DE1-47E2-B39E-C51E7C967CD6}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0920C573-3DE1-47E2-B39E-C51E7C967CD6}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0920C573-3DE1-47E2-B39E-C51E7C967CD6}: NameServer = 192.168.1.1
O23 - Service: Access Administrator (ACDService) - Unknown owner - C:\PROGRAMME\ADMINISTRATOR\acadma.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\AVGFRE~1\avgupsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe




Antworten zu hijackthis - log:

wenn ich ein neues browserfenster oeffne oder eines schliesse meldet mir spybot teatimer uebrigens, dass sich eine browser specific toolbar in die registry schreiben will, was ich dann ablehne.
muss ich das villeicht zulassen um es dann vielleicht entfernen zu koennen?
un wuerde eine neuinstallation des inet explorers besserung bringen?

Hallo,
dein Problem könnte auch von einer Webseite kommen die dich täuschen will, dein PC muss nicht zwangsläufig infiziert sein.
Trotzdem überprüfe deinen PC mal mit dem Freeware Online-Scanner von F-Secure.
Für eine schnelle und kostenlose Überprüfung des kompletten Systems bietet dieser
Online-Scanner gute Dienste und liefert eine zweite Meinung. Übrigens, er läuft nur unter dem Microsoft Internet Explorer mit ActiveX und besitzen eine Reinigungsfunktion.

Beachte bitte dabei die folgende Anleitung genau und arbeite sie unbedingt in der Reihenfolge und vollständig ab!

Deaktiviere zuerst die Systemwiederherstellung von Windows, nur bei XP und ME.
Eine Anleitung dazu findet man unter: http://www.bsi.de/av/texte/wiederher.htm

Lösche bitte deinen Browser-Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
und führe den Befehl Cleaner aus.

F-Secure Online Scanner
http://support.f-secure.com/enu/home/ols3.shtml
(Einige wenige Teile der Software sind in Englisch)
Wähle die Option “Vollständiger Systemscan“

Zur Kontrolle sollte noch eine Überprüfung mit dem kostenlosen Online-Scanner von Ewido  vorgenommen werden.
Zum Teil in Englisch und nur für Windows XP und 2000
http://www.ewido.net/de/onlinescan/
Gut bei der Spyware / Adware Erkennung und Beseitigung.
Wenn Malware entdeckt, muss nach dem Scan der Button “Remove Infections“ gedrückt werden, damit die Schadprogrammen automatisch beseitigen.
(Eventuellen Meldungen beim Scan von Ewido unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar)

Poste bitte auf jeden Fall die ausführlichen Berichte der Scanner hier !
Boote jetzt den PC neu und aktiviere die Systemwiederherstellung wieder.

wow, haette ich nicht gedacht:
 
Result: 4 malware found
PECompact (virus)
C:\WINDOWS\SYSTEM32\WINJJQ32.DLL (Submitted)
Tracking Cookie (spyware)
System (Disinfected)
W32/Smalltroj.NYS (virus)
C:\WINDOWS\SYSTEM32\YNRXCUOU.EXE (Submitted)
W32/Vundo.gen3 (virus)
C:\WINDOWS\SYSTEM32\TUVWXXV.DLL (Submitted)

eben meldet mir spybot teatimer allerdings wieder die versuchte aenderung an der registrierungsdatenbank, werde jetzt mal den ewido scanner laufen lassen

shice, hab eben bemerkt, dass er nur 1 virus disinfected hat, die anderen 3 nicht, warum macht er das nicht automatisch?

Statistics
Scanned:
Files: 16226
System: 2983
Not scanned: 5
Actions:
Disinfected: 1
Renamed: 0
Deleted: 0
None: 3
Submitted: 3
Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\FDCANT.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{9F85FBF1-7FF9-410F-80E1-24D0B7FD63EB}.BIN

... deswegen  - (Submitted)!
Aber bei den Dateinamen kannst du diese gnadenlos löschen!
Verwende das Programm Killbox um die Dateien zu löschen:
Download = http://www.bleepingcomputer.com/files/killbox.php
Eine Anleitung zur Killbox ist unter diesem Link zu finden
http://virus-protect.org/killbox.html

Zur weiteren Analyse sollte auch noch eine Prüfung mit dem kostenlosen Online-Scanner Panda ActiveScan vorgenommen werden.
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)

Poste bitte auf jeden Fall den ausführlichen Bericht hier !
Bitte wiederhole zum Schluss auch den Onlinescan mit F-Secure noch einmal und poste das Ergebnis.

das hier sagt panda active scan dazu:
das hier ist uebrigens die spyware mit der ich das problem habe: http://www.hijackthis-forum.de/showthread.php?t=14320                                                                                                                                                             

Spyware:Spyware/Virtumonde                                                      Nicht desinfiziert            C:\!KillBox\tuvwxxv.dll                                                                                                                                                                                                                                         
Potenziell unerwünschtes Tool:Application/VSToolbar                             Nicht desinfiziert            C:\!KillBox\ynrxcuou.exe                                                                                                                                                                                                                                       
Spyware:Cookie/Falkag                                                           Nicht desinfiziert            C:\Dokumente und Einstellungen\standard\Cookies\[email protected][1].txt                                                                                                                                                                                     
Spyware:Cookie/Mediaplex                                                        Nicht desinfiziert            C:\Dokumente und Einstellungen\standard\Cookies\standard@mediaplex[1].txt                                                                                                                                                                                       
Spyware:Cookie/Reliablestats                                                    Nicht desinfiziert            C:\Dokumente und Einstellungen\standard\Cookies\[email protected][1].txt                                                                                                                                                                           
Spyware:Cookie/Winantivirus                                                     Nicht desinfiziert            C:\Dokumente und Einstellungen\standard\Cookies\standard@winantivirus[2].txt                                                                                                                                                                                   
Spyware:Cookie/Winantivirus                                                     Nicht desinfiziert            C:\Dokumente und Einstellungen\standard\Cookies\[email protected][1].txt                                                                                                                                                                               
Potenziell unerwünschtes Tool:Application/MotherboardMonitor.A                  Nicht desinfiziert            F:\Downloads\girc435.exe[moo.dll]   

so, habe inzwischen counterspy drueber laufen lassen, der nochmal einen trojaner erkannt hat,
der f-secure scan hat inzwischen folgendes ergeben:


Result: 2 malware found
Tracking Cookie (spyware)
System (Disinfected)
System

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 16551
System: 3339
Not scanned: 5
Actions:
Disinfected: 1
Renamed: 0
Deleted: 0
None: 1
Submitted: 0
Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\FDCANT.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{9F85FBF1-7FF9-410F-80E1-24D0B7FD63EB}.BIN



Ok,
lösche vorsichtigerweise noch die Dateien
C:\!KillBox\ynrxcuou.exe
C:\!KillBox\tuvwxxv.dll
F:\Downloads\girc435.exe[moo.dll]

auch der Browser-Cache und alle sonstigen Temporären Dateien,
ebenso der Papierkorb sollten noch einmal mit der Freeware CCleaner bereinigt werden.

Ansonsten sollte dein PC jetzt wieder Clean sein,
oder kommen noch immer Fake Hinweise ?


 

hi!
also ich habe gestern nacht noch einiges probiert, allerdings ohne erfolg. hab mich dann schlussendlich fuer format c: entschieden, um das ding los zu werden. danke auf jeden fall nochmal fuer die hilfe, werde mir diese online scanner merken!1


« HackenKennt irgendwer diesen neuen Virus :wdfmgrr.exe ????? WICHTIG! »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Logfile
Eine Log-Datei ist eine Datei mit einer Art Protokoll, dass Aufschluss gibt über jegliche Aktivität auf einem Rechner. Das automatrisch geführte Protokoll ...

HiJackThis
Unter dem Begriff HiJackThis verbirgt sich ein  Sicherheitsprogramm, dass den Computer nach Schad-Programmen und Viren durchsucht. Dazu werden spezielle Bereiche in ...

Scanner
Der Scanner, abgeleitet vom englischen Wort "to scan" für "abtasten", ist ein Gerät zur Digitalisierung von Bildern, Fotos und Dokumenten. M...