"Browser-Game-Seiten" öffnen sich ungefragt!

Mach mal ein Logfile mit Hijackthis und poste es hier.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:16:40, on 08.06.2008
Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3264)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\tsnp2std.exe
C:\WINDOWS\vsnp2std.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: NavigationAdvisor - {E60A8FF7-B9B4-8ABC-10E8-10F2461DFA50} - C:\Programme\NavigationAdvisor\NavigationAdvisor-2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [NI.UGESU_0001_N122M0303] "c:\dokumente und einstellungen\andreas\anwendungsdaten\setup_de[1].exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

--
End of file - 8435 bytes
 

Gehe bitte auf http://virustotal.com, und füge neben dem durchsuchen button folgenden Pfad ein.

""c:\dokumente und einstellungen\andreas\anwendungsdaten\setup_de[1].exe "

Ist auf jedenfall ein Schädling, weiß nur noch nicht welcher.

(Bitte fürs nächste mal merken, Hijackthis Logfiles in Code- Tags einfügen also so:

(code) Logfile (/code)   nur mit eckigen klammern.

 

 ??? ??? ??? Und was ist mit dem ???

O2 - BHO: NavigationAdvisor - {E60A8FF7-B9B4-8ABC-10E8-10F2461DFA50} - C:\Programme\NavigationAdvisor\NavigationAdvisor-2.dll
   
Art
   

   Unbedingt fixen! NavigationAdvisor-1.dll, NavigationAdvisor-2.dll, NavigationAdvisor-3.dll - PlayMP3Z.biz, http://research.sunbelt-software.com/thr eatdisplay.aspx?threatid=153897 adware variant

Oh glatt übersehen!!

Die Datei die HCK gepostet hat bitte auch auf http://virustotal.com hochladen.

C:\Programme\NavigationAdvisor\NavigationAdvisor-2.dll

Ob die Datei zu dem 04er Eintrag gehört, bezweifel ich.

Dennoch sollte sie geprüft werden!

hi

erst mal: vielen dank für die schnelle hilfe!

So

ich hab die sagen auf der Seite hoch geladen, nur leider weiss ich nicht wie es weiter geht, bzw. was ich da überhaupt gemacht habe^^
Ich bin leider in sachen pc nicht gerade der hellste



 

Kopiere einfach alles von der Seite ab und poste hier die ergebnisse.

Dabei ist googeln doch so einfach....
Guggst du und liest du hier ..
Ist ein Teil und verwandt mit purityscan.

 

SETUP_DE[1].EXE has been seen to perform the following behavior(s):

    * The Process is packed and/or encrypted using a software packing process
    * This Process Creates Other Processes On Disk
    * This Process Deletes Other Processes From Disk
    * Executes a Process
    * Writes to another Process's Virtual Memory (Process Hijacking)
    * Adds a Registry Key (RUN) to auto start Programs on system start up
    * Executes Processes stored in Temporary Folders
    * Can communicate with other computer systems using HTTP protocols
    * Creates potentially fake system tray messages and error warnings
    * Opens pop up browser windows
    * Visits web sites without the user knowing
    * Adds Products to the system registry

SETUP_DE[1].EXE has been the subject of the following behavior(s):

    * Added as a Registry auto start to load Program on Boot up
    * Executed as a Process
    * Has code inserted into its Virtual Memory space by other programs
    * Created as a process on disk
    * Executed by Internet Explorer
    * Deleted as a process from disk

(Bitte fürs nächste mal merken, Hijackthis Logfiles in Code- Tags einfügen also so:

(code) Logfile (/code)   nur mit eckigen klammern.

 

1) c:\dokumente und einstellungen\andreas\anwendungsdaten\setup_de[1].exe
--------------------------------------------------------

MD5: df065dc324a7f418958b9bd435e7a16d
First received: 2008.03.11 17:54:21 (CET)
Datum 2008.05.05 19:36:26 (CET) [>33D]
Ergebnisse 18/31
Permalink: analisis/96827ab97bfaa38cddb0f05a22169d6f
---------------------------------------------------------

Antivirus Version letzte aktualisierung Ergebnis
.........................................................
AhnLab-V3 - - -
AntiVir - - SPR/Fake.Syscontrol
Authentium - - -
Avast - - -
AVG - - Downloader.Purityscan.AC
BitDefender - - -
CAT-QuickHeal - - Downloader.WinFixer.fv (Not a Virus)
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - Not-A-Virus.Downloader.Win32.WinFixer.fv
F-Prot - - -
F-Secure - - -
Fortinet - - Download/WinFixer
Ikarus - - not-a-virus:Downloader.Win32.WinFixer.fv
Kaspersky - - not-a-virus:Downloader.Win32.WinFixer.fv
McAfee - - Generic Downloader.x
Microsoft - - Program:Win32/Winfixer
NOD32v2 - - a variant of Win32/Adware.WinFixer
Norman - - W32/DLoader.GIWS
Panda - - Suspicious file
Prevx1 - - Malware Downloader
Rising - - Trojan.DL.Win32.WinFixer.au
Sophos - - -
Sunbelt - - WinFixer
Symantec - - Downloader.MisleadApp
TheHacker - - -
VBA32 - - Downloader.Win32.WinFixer.fv
VirusBuster - - -
Webwasher-Gateway - - Riskware.Fake.Syscontrol
::::::::::::::::::::::::::::::::::::::::::::::::::::::::

2) C:\Programme\NavigationAdvisor\NavigationAdvisor-2.dll
--------------------------------------------------------


MD5: 55be072fe58aea01b376273344862714
First received: 2008.03.24 19:31:16 (CET)
Datum 2008.04.14 21:24:14 (CET) [>54D]
Ergebnisse 4/32
Permalink: analisis/fbfa1a5b56a5e6060601c10d67a4e243
--------------------------------------------------------

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - AdWare.Agent.ahl (Not a Virus)
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
FileAdvisor - - -
Fortinet - - -
Ikarus - - -
Kaspersky - - not-a-virus:AdWare.Win32.Agent.bjb
McAfee - - -
Microsoft - - Adware:Win32/BrowsingEnhancer
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - Generic.Malware
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - -



Hoffe das ist so richtig

 

@Sir .......

Mit den Codetags ist einfach nur übersichtlicher!!!

Außerdem was motzt du hier rum, in deinem geliebten Trojaner-Board,wo du auch selber Beiträge schreibst und angemeldet bist.

Werden auch Codetags bei Logfile benützt!


@an   fixe folgenden Einträge mit Hijackthis:

O2 - BHO: NavigationAdvisor - {E60A8FF7-B9B4-8ABC-10E8-10F2461DFA50} - C:\Programme\NavigationAdvisor\NavigationAdvisor-2.dll

O4 - HKLM\..\Run: [NI.UGESU_0001_N122M0303] "c:\dokumente und einstellungen\andreas\anwendungsdaten\setup_de[1].exe

Danach installiere Malwarebytes und mache einen Scan, poste den report hier.
 

Hast du nicht gelesen was Virustotal ausgespuckt hat und was ich bereits vorher gepostet habe ?

Was geschieht denn beim "Fixen" mit Hijackthis ??

Code tags sind für Gäste gar nicht erlaubt

Sir Reklov

--------------------------
Nettiquette einhalten
Nope

Was beim fixen geschieht ??

Ich weiß dass die Datei NICHT gelöscht wird.

Und was labers du mich überhaupt an, geh mir doch nicht auf em Sack eh !!

Wenn du es besser kannst, dann mach es doch und laber hier nicht dooof rum.

Im Trojaner Board spuckse nähmlich keine großen Töne ne!

sorry, aber versteh grad kein wort wo rum?s geht

Vergesse den letzten Beitrag und mache dass was ich davor geschrieben habe.