icon

Hi!

Tja, Du bist auf einen Schädling reingefallen und hast Dir einen Packen Spyware/Adware installiert, als Du die Seiten (womöglich mit dem IE) angeschaut hast.

Ich würde aus dem Bauch heraus auf eine Neuinstallation hinweisen. Du könntest aber trotzdem mal ein HijackThis-Log posten. Eventuell ist ja noch was zu retten. Denke allerdings nicht, daß Du ums Neuaufsetzen herumkommen wirst. Sorry.

Hi,
Danke für die antwort.
hier ist der logfile.
kannst Du da was erkennen ?
hab in der zwischenzeit auch mit S&D nachgeschaut - keine spyware zu finden  ???

Logfile of HijackThis v1.99.1
Scan saved at 23:39:48, on 05.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Dokumente und Einstellungen\Marcus\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C9AB09YV\hijackthis_199[1]\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: HomepageBHO - {27150f81-0877-42e9-af13-55e5a3439a26} - C:\WINDOWS\system32\hp5F17.tmp
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Acronis True Image Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{79D09F60-C683-48D7-98D3-29939FF710A1}: NameServer = 205.188.146.145
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Hi!

Stimmt, das Log sieht gut aus. Lediglich diesen Eintrag solltest Du fixen:

O2 - BHO: HomepageBHO - {27150f81-0877-42e9-af13-55e5a3439a26} - C:\WINDOWS\system32\hp5F17.tmp

Der stammt wahrscheinlich von der genannten Spyware.

hi,

das war's leider nicht. nach update etc hat spybot s&d inzwischen auch einiges gefunden (smitfraud_c und Vcodec), die hab ich auch gefixt aber nach jedem reboot ist das icon zurück (interessanterweise nur bei meinem anmeldenamen - habe mal ein anderes Konto eingerichtet und  da ist alles clean...
irgendwelche ideen was ich noch tun kann  ???
dank im voraus, 

Hi!

Find ich schon sehr eigenartig, denn im Log findet sich nichts über Smitfraud und Vcodec.

Infos zu Smitfraud.C findest unter anderem unter
http://www.f-secure.de/v-desk/smitfraud_c.shtml

Ist halt ein fieses kleines Etwas.
Vcodec ... hast Du den von der gleichnamigen Seite?
Identifiziert wird er als Zlob.G-Variante, ein Wurm, der irgendwelches Zeug aus dem Internet nachlädt.
http://www.sophos.de/virusinfo/analyses/trojzlobg.html

Merkwürdig finde ich es deswegen, weil sich - wie gesagt - im Log dazu nichts findet. Wenn Du aber nach einem Reboot wieder was da hast, ist defintiv auch was vorhanden, was sich in die Registry geschrieben hat.
Du kannst nun entweder hingehen und diese(n) Schlüssel suchen und löschen (inklusive der dazugehörigen Dateien) oder Du führst direkt eine Neuinstallation durch und bist sicher, ein sauberes System zurückzubekommen.

Hi marcus s!

Ich hatte den selben Mist drauf. Habs runter gekriegt ohne alles neu zu installieren. Hab Spybot drüber laufen und den alles runter haun lassen, hast du ja aber auch schon gemacht. Danach hab ich alle Dateien (oder jedenfalls fast alle) im abgesicherten Modus über die Befehlseingabe gelöscht, die zu der Zeit erstellt wurden, als ich mir das Zeug eingefang hab. Ich glaub, bei mir war für das Icon ne Datei, die winstall.exe hieß, verantwortlich.

Hi,
Danke für die Tipps !
irgendwie werde ich das zeug nicht los und wollte nun neuinstallieren.
dazu ne doofe frage: wenn ich mit der XP Disk boote, sollte dann nicht eine auswahl kommen ob xp von der disk installiert werden soll ?? passiert leider nicht... schon länger her seit meiner letzten installation 
was muss ich denn anders machen ?

Also, wenn ich mich recht entsinne, sollte beim Starten von XP-CD zuerst die Frage kommen, ob von CD gestartet werden soll.
Ist allerdings Dein CD-ROM vor der Festplatte in der Boot-Reihenfolge eingestellt, sollte es auch so gehen, wenn ich mich nicht irre. Dann fängt Setup direkt an, das ganze Treiberzeug zu laden und bietet Dir nachher den blauen Setup-Bildschirm an.

Also ich habe das mistfie auch nd habe es mit spybot S&D gefunden......
das ist bei :
C:\WINDOWS\system32\ts.ico
und :
C:\WINDOWS\system32\ncompat.tlb
Btte schöhn !!!! *g*
ich selber habe es noch net rnter von meinem rechner.......
Ich versuche es mit !KILLBOX