Hallo Leute,

wäre super wenn mir jemand bei folgendem Problem helfen könnte:

Während ich online bin öffnet sich in unregelmäßigen Abständen ein neues Fenster mit der Domain advnt05.com.

Das Fenster lässt sich nicht öffnen, sondern ist nur unten in der Leiste zu sehen. Wenn ich das Fenster nicht sofort schließe, erscheint eine Virus-Warnung von Norton. (Leider weiß ich die Virusbezeichnung nicht mehr).

Spybot und AdAware hab ich schon zig mal ausprobiert, das Problem lässt sich aber dadurch nicht lösen.

Wie kann ich diesen Mist wieder loswerden?

Vielen Dank im voraus!

Hier meine Hijack Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 20:52:57, on 26.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Karl Pötzl\Anwendungsdaten\rswu.exe
C:\WINDOWS\System32\??rvices.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Teledat\IWatch.exe
C:\Programme\Word\Office\FINDFAST.EXE
C:\Programme\Word\Office\OSA.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Karl Pötzl\Startmenü\Programme\Systemprogramme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {60F94007-E130-79CD-800B-6D550DFA2E4D} - C:\WINDOWS\System32\tsp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\RunServices: [Windows Compliant] hsqqzq.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Oiat] C:\Dokumente und Einstellungen\Karl Pötzl\Anwendungsdaten\rswu.exe
O4 - HKCU\..\Run: [Cbmat] C:\WINDOWS\System32\??rvices.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Word\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Word\Office\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex ... 0-3-17.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... -0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7BC89428-A9A5-4BC7-94BB-7051A7A7567A}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{E28337CC-DF73-4645-9A0A-2615C8C4AA45}: NameServer = 145.253.2.196 145.253.2.203

Hallo@bluelou

Aendere alle deine wichtigen Passworte !!!!!!!!!!!
---------------------------------------------------------------------------------------

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924

Gehe in die Registry
Start<Ausfuehren<regedit

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"--aendere in Y
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
restrictanonymous = dword:00000001--aendere in dword:00000000

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
loesche:
Windows Compliant = <filename>

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
loesche:
Windows Compliant = <filename>

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
loesche:
Windows Compliant = <filename>
http://www.sophos.com/virusinfo/analyses/w32rbotir.html
-------------------------------------------------------------------------------------

1.Schritt:
<Das eScan AV Toolkit--> Erkennungstool--> loescht nicht (mwav.exe) herunterladen, öffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS)
ausführen. (oder unter Start<Ausfuehren<%temp% die
"kavupd.exe" suchen) und anklicken.

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.
<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte
man nach infected suchen..und diese dann zusammen mit der jetzt schon sichtbaren Malware im abgesicherten Modus loeschen.

-------------------------------------------------------------------------------
Schritt:
<xphidden< und oeffne sie,Doppelklick und
"yes" zur Registry hinzufuegen, (so werden alle Dateien sichtbar)
http://www.davehigham.zen.co.uk/downloads/xphidden.zip

<"cwsfix.reg" + "cwsserviceremove.reg downloaden, einen neuen Ordner anlegen und alle Dateien in diesen Ordner entpacken.
--> http://d21c.com/Tom41/?D=A

<AboutBuster.zip downloaden, einen neuen Ordner anlegen und alle Dateien in diesen Ordner entpacken. AboutBuster starten und updaten. Noch nicht scannen lassen.
--> www.malwarebytes.biz/AboutBuster.zip

Schritt:
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {60F94007-E130-79CD-800B-6D550DFA2E4D} - C:\WINDOWS\System32\tsp.dll
O4 - HKLM\..\RunServices: [Windows Compliant] hsqqzq.exe [W32/Rbot-IR]
O4 - HKCU\..\Run: [Oiat] C:\Dokumente und Einstellungen\Karl Pötzl\Anwendungsdaten\rswu.exe
O4 - HKCU\..\Run: [Cbmat] C:\WINDOWS\System32\??rvices.exe

Schritt:
PC neustarten..und
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

Schritt:
loesche:
<C:\WINDOWS\System32\tsp.dll
<C:\WINDOWS\System32\??rvices.exe
<hsqqzq.exe
<C:\Dokumente und Einstellungen\Karl Pötzl\Anwendungsdaten\rswu.exe

und alles, was der eScan angezeigt hat !!!!!

Beispiel loeschen:
1.) öffne das HijackThis:
2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
3.) In dem Fenster bei Dateiname einfügen\reinkopieren:
C:\WINDOWS\System32\??rvices.exe
4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No"
5.)und füge das Nächste ein. Erst beim letzten klickst du "Yes" und startest den PC neu...wieder in den abgesicherten Modus
-----------------------------------------------------------------------------------
Schritt:
und dort füge cwsfix.reg" +
"cwsserviceremove.reg durch "yes" der Registry bei und scanne mit
AboutBuster und AdAware.

---------------------------------------------------------------------------------------------
Schritt:
mache ebenfalls im abgesicherten Modus:
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

Schritt:
Dann poste das Log noch mal.

mfg
Nikita

Hallo Nikita,

vielen Dank für die ausführliche Beschreibung.

Hier nochmal meine Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 20:00:10, on 05.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Teledat\IWatch.exe
C:\Programme\Word\Office\FINDFAST.EXE
C:\Programme\Word\Office\OSA.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Karl Pötzl\Startmenü\Programme\Systemprogramme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Word\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Word\Office\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex ... 0-3-17.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... -0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7BC89428-A9A5-4BC7-94BB-7051A7A7567A}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{E28337CC-DF73-4645-9A0A-2615C8C4AA45}: NameServer = 145.253.2.196 145.253.2.203

mfg
bluelou

Hallo@bluelou

Das Log ist sauber