Popup-Fenster "Nachrichtendienst"

Hallo Nyankor,
deaktiviere zuerst den Nachrichtendienst von Windows 2000!
Unter diesem Link findest du eine Beschreibung sowie ein kleines Hilfetool dazu:
http://www.trojaner-info.de/nachrichtendienst/

Im Anschluss überprüfe deinen PC dringend mal mit dem Freeware Online-Scanner von F-Secure. Für eine schnelle und kostenlose Überprüfung des kompletten Systems bietet dieser
Online-Scanner gute Dienste und liefert eine zweite Meinung. Übrigens, er läuft nur unter dem Microsoft Internet Explorer mit ActiveX und besitzen eine Reinigungsfunktion.

Beachte bitte dabei die folgende Anleitung genau und arbeite sie unbedingt in der Reihenfolge und vollständig ab!

Lösche bitte deinen Browser-Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
und führe den Befehl Cleaner aus.

F-Secure Online Scanner
http://support.f-secure.com/enu/home/ols.shtml
(Einige wenige Teile der Software sind in Englisch)
Wähle die Option “Vollständiger Systemscan“

Zur Kontrolle sollte noch eine Überprüfung mit dem kostenlosen Online-Scanner von Ewido  vorgenommen werden.
Zum Teil in Englisch und nur für Windows XP und 2000
http://www.ewido.net/de/onlinescan/
Gut bei der Spyware / Adware Erkennung und Beseitigung.
Wenn Malware entdeckt, muss nach dem Scan der Button “Remove Infections“ gedrückt werden, damit die Schadprogrammen automatisch beseitigen.
(Eventuellen Meldungen beim Scan von Ewido unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar)

Poste bitte auf jeden Fall die ausführlichen Berichte der Scanner hier !

Zum Schluss erstelle ein HijackThis-Log und poste den Logfile hier.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Hier der Link zu dem Tool
http://www.hijackthis.de/
und folge den Anweisungen.
Downloadlink zum Tool
http://www.mmdirect.de/downloads/hijackthis_199.zip

Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493

Danke an euch beide. Nachrichtendienst ist aus und die temporären Files sind auch weg. Habe jetzt auch von anderen AOL-Usern gehört, dass da wohl einer speziell bei AOL-Usern trollt, scheint ja aber nicht gefährlich zu sein. Virenscan hab ich gestern noch komplett gemacht, er hatte auch tatsächlich 4 Trojaner, die Nachrichten waren aber nach dem online gehen wieder da. Das muss an AOL liegen.

Nyankor,

setze meinen Tipp bitte vollständig um !
# F-Secure Online Scanner
# Online-Scanner von Ewido
# HijackThis

Poste dann die Ergebnisse hier.
Auch den Scanbericht von AntiVir mit den vier Malwarefunden wäre sehr informativ für uns.

Ok, hier haben wir erstmal den Antivir.

 

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Samstag, 20. Januar 2007  03:06

Es wird nach 640633 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows 2000
Windowsversion:   (Service Pack 4)  [5.0.2195]
Benutzername:     Administrator
Computername:     NIGHTWISH

Versionsinformationen:
BUILD.DAT    : 217           12749 Bytes  05.12.2006 16:57:00
AVSCAN.EXE   : 7.0.3.5      208936 Bytes  20.01.2007 00:42:15
AVSCAN.DLL   : 7.0.3.0       35880 Bytes  13.12.2006 05:30:42
LUKE.DLL     : 7.0.3.2      143400 Bytes  13.12.2006 05:30:42
LUKERES.DLL  : 7.0.2.0        9256 Bytes  13.12.2006 05:30:42
ANTIVIR0.VDF : 6.35.0.1    7371264 Bytes  31.05.2006 12:11:04
ANTIVIR1.VDF : 6.37.0.153  3131392 Bytes  12.01.2007 08:51:37
ANTIVIR2.VDF : 6.37.0.183   128000 Bytes  17.01.2007 00:42:15
ANTIVIR3.VDF : 6.37.0.191    46592 Bytes  20.01.2007 00:42:15
AVEWIN32.DLL : 7.3.0.26    1999360 Bytes  20.01.2007 00:42:17
AVPREF.DLL   : 7.0.2.0       23592 Bytes  13.12.2006 05:30:42
AVREP.DLL    : 6.37.0.119  1052712 Bytes  09.01.2007 06:38:34
AVRPBASE.DLL : 7.0.0.0     2162728 Bytes  05.05.2006 04:40:56
AVPACK32.DLL : 7.2.0.5      368680 Bytes  26.10.2006 00:21:05
AVREG.DLL    : 7.0.1.2       30760 Bytes  20.01.2007 00:42:15
NETNT.DLL    : 6.32.0.0       6696 Bytes  27.09.2005 07:56:48
RCIMAGE.DLL  : 7.0.1.3     2097192 Bytes  13.12.2006 05:30:32
RCTEXT.DLL   : 7.0.12.0      77864 Bytes  13.12.2006 05:30:32

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: F:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Erweiterte Sucheinstellungen.....: 0x00001000

Beginn des Suchlaufs: Samstag, 20. Januar 2007  03:06

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'mmdiag.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'mmjb.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'CMD.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'internat.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'pdesk.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'WinMgmt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wanmpsvc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'StarWindService' - '1' Module wurden durchsucht
Durchsuche Prozess 'mstask.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'regsvc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'mgabg.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'McTskshd.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Module wurden durchsucht
Es wurden '29' Prozesse mit '29' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
      [HINWEIS]   Es wurde kein Virus gefunden!
Bootsektor 'F:\'
      [HINWEIS]   Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( 21 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Programme\eMule\Temp\018.part
  

• Archivtyp: ACE

  --> Petra Hammesfahr\Der stille Herr Genardy\Petra Hammesfahr - Der stille Herr Genardy (10of30).mp3
      [WARNUNG]   Fehler beim Erzeugen der Datei
  --> Petra Hammesfahr\Der stille Herr Genardy\Petra Hammesfahr - Der stille Herr Genardy (11of30).mp3
      [WARNUNG]   Fehler beim Erzeugen der Datei
  --> Petra Hammesfahr\Der stille Herr Genardy\Petra Hammesfahr - Der stille Herr Genardy (12of30).mp3
      [WARNUNG]   Fehler beim Erzeugen der Datei
  --> Petra Hammesfahr\Der stille Herr Genardy\Petra Hammesfahr - Der stille Herr Genardy (13of30).mp3
      [WARNUNG]   Fehler beim Erzeugen der Datei
      [WARNUNG]   Fehler beim Erzeugen der Datei
C:\WINNT\system32\AlxResg061231.exe
      [FUND]      Ist das Trojanische Pferd TR/Dldr.Agent.beo
      [INFO]      Die Datei wurde gelöscht.
C:\WINNT\system32\gdiw2k.sys
      [FUND]      Ist das Trojanische Pferd TR/Spy.Goldun.IA.1
      [INFO]      Die Datei wurde gelöscht.
C:\WINNT\system32\scrsysgg061231.scr
      [FUND]      Ist das Trojanische Pferd TR/Dldr.Agent.beo
      [INFO]      Die Datei wurde gelöscht.
C:\WINNT\system32\sysgg32_061231.dll
      [FUND]      Ist das Trojanische Pferd TR/Dldr.Agent.beo
      [INFO]      Die Datei wurde gelöscht.
C:\WINNT\system32\drivers\sptd.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\drivers\sptd2445.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\drivers\vaxscsi.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'F:\' <Daten>


Ende des Suchlaufs: Samstag, 20. Januar 2007  04:18
Benötigte Zeit:  1:12:02 min

Der Suchlauf wurde vollständig durchgeführt.

   4907 Verzeichnisse wurden überprüft
 222948 Dateien wurden geprüft
      4 Viren bzw. unerwünschte Programme wurden gefunden
      4 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      4 Dateien konnten nicht durchsucht werden
 222944 Dateien ohne Befall
  10084 Archive wurden durchsucht
     10 Warnungen
      0 Hinweise

HijackThis:
 

Logfile of HijackThis v1.99.1
Scan saved at 17:31:03, on 20.01.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\WINNT\system32\mgabg.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\PDesk\PDesk.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmjb.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\MMDiag.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Adobe\Acrobat 4.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netpede.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.netpede.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netpede.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINNT\system32\msindeo.dll (file missing)
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\system32\Shdocvw.dll
O16 - DPF: Dice Derby by pogo - http://game1.pogo.com/applet-6.6.5.22/checkeredflag/checkeredflag-de_DE.cab
O16 - DPF: Fortune Bingo by pogo - http://game1.pogo.com/applet-6.6.4.21/superbingo/superbingo-de_DE.cab
O16 - DPF: Mah Jong Garden by pogo - http://game1.pogo.com/applet-6.6.4.21/mahjong/mahjong-de_DE.cab
O16 - DPF: Phlinx by pogo - http://game1.pogo.com/applet-6.6.4.21/flinger/flinger-de_DE.cab
O16 - DPF: Pop Fu by pogo - http://game1.pogo.com/applet-6.6.4.21/popfu/popfu-de_DE.cab
O16 - DPF: Squelchies by pogo - http://game1.pogo.com/applet-6.6.4.21/squelchies/squelchies-de_DE.cab
O16 - DPF: Texas Hold'em Poker by pogo - http://game1.pogo.com/applet-6.6.4.21/holdem/holdem-de_DE.cab
O16 - DPF: Word Whomp Whackdown by pogo - http://game1.pogo.com/applet-6.6.4.21/whackdown/whackdown-de_DE.cab
O16 - DPF: World Class Solitaire by pogo - http://game1.pogo.com/applet-6.7.1.23/worldclass/worldclass-de_DE.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/CursorManiaFWBInitialSetup1.0.0.15.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game11.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {DC75FEF6-165D-4D25-A518-C8C4BDA7BAA6} (CPlayFirstDinerDashControl Object) - http://games.pogo.com/online2/pogo/diner_dash/DinerDash.1.0.0.80.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA7A66FE-334A-4AA8-8C8F-F5D10CE71566}: NameServer = 205.188.146.145
O20 - Winlogon Notify: gdiwxp - gdiwxp.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINNT\wanmpsvc.exe

Dann scanne mit Ewido nur C:\Windows samt allen Unterverzeichnisse !

Zuvor fixe noch diese Einträge aus dem Logfile of HijackThis:

O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINNT\system32\msindeo.dll (file missing)

O20 - Winlogon Notify: gdiwxp - gdiwxp.dll (file missing)

Im Anschluss den PC neu booten und mit Ewido scannen.