Ich hab ein kleinen porblem. Bei mir blendet sich immer Werbung in unregelmässigen Abständen ein und schmeisst mich aus jeder anwendung zurück auf mein dEsktop. Spybot und AVG.Pro. haben nixs gefunden... Hab schon nen bissle in google gesucht aber bin net ganz durchgestiegen. Hab viel gelesen das MSN 3 Plus spyware drauf haut will aber hier erstmal nach fragen. Waere nett wenn jmd über den Log mal schaun kann. THX im vorraus.


Logfile of HijackThis v1.99.1
Scan saved at 22:28:26, on 11.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Valve\Steam\Steam.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Dokumente und Einstellungen\K!LL3R\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nero.com/download.php?id=2_deu_nero
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6B240C15-93C1-490E-23BA-299991F65F5A} - C:\DOKUME~1\K!LL3R\ANWEND~1\WINBOL~1\Style Proxy.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Live Spam Save Bold] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\16 Mode Live Spam\That amen.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [chicdata] C:\DOKUME~1\K!LL3R\ANWEND~1\BLUEFL~1\HELP SLOW BAIT.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {6B240C15-93C1-490E-23BA-299991F65F5A} - C:\DOKUME~1\K!LL3R\ANWEND~1\WINBOL~1\Style Proxy.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Live Spam Save Bold] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\16 Mode Live Spam\That amen.exe
O4 - HKCU\..\Run: [chicdata] C:\DOKUME~1\K!LL3R\ANWEND~1\BLUEFL~1\HELP SLOW BAIT.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab

PC neustarten

deinstalliere/loesche:
C:\Programme\MessengerPlus! 3

loeschen (am besten im abgesicherten Modus)

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\16 Mode Live Spam
C:\Dokumente und Einstellungen\K!LL3R\Anwendungsdaten\BLUEFL....
C:\Dokumente und Einstellungen\K!LL3R\Anwendungsdaten\WINBOL.....

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.net/cleanup.html

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:


dir %Windir%\tasks /a h > files.txt
notepad files.txt


- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text

Das kam dabei raus und thx Browser ist jetzt frei und werbung kam bisher auch net:

Datenträger in Laufwerk C: ist Betrieb
Volumeseriennummer: C810-8998

Verzeichnis von C:\WINDOWS\tasks

03.01.2006 12:28 <DIR> .
03.01.2006 12:28 <DIR> ..
12.01.2006 22:00 264 AEBE6E34918A1E80.job
04.08.2004 13:00 65 desktop.ini
12.01.2006 21:56 6 SA.DAT
3 Datei(en) 335 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\K!LL3R\Desktop

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h AEBE6E34918A1E80.job
del AEBE6E34918A1E80.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal


scanne mit Pada ud kopiere hier den scanreport
http://virus-protect.net/onlinescan.html

die seite is down

sie funktioniert wieder

Hi ich habe das gleiche Problem und habe deswegen mal bei mir reingeschaut, ob die gleichen Programme etc da sind und gegebenfalls entfernt werden müssen. hab aber einiges nicht gefunden und deswegen würde ich bittend fragen, ob mir jemand dieses log mal descheffrieren würde!
Gruß st1age

Logfile of HijackThis v1.99.1
Scan saved at 23:13:37, on 06.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
D:\AVPERSONAL\AVGUARD.EXE
d:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
D:\No-IP\DUC20.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
d:\RealVNC\VNC4\WinVNC4.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
D:\Motherboard Monitor 5\MBM5.EXE
D:\DU Meter\DUMeter.exe
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
D:\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
D:\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Driver Cleaner Pro\Automatic.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
D:\Enacart2006\Encarta 2006 Enzyklopaedie DVD\EDICT.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
D:\Samurize\Client.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Trillian\trillian.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
E:\Steam\Steam.exe
D:\Firefox 1.5\firefox.exe
G:\Download\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {B20F85B5-FFA2-EC5B-52DA-704BC86BC414} - C:\DOKUME~1\Tom\ANWEND~1\MAILOP~1\fork ace.exe
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [MBM 5] "D:\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [DU Meter] D:\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [LWBMOUSE] d:\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [DAEMON Tools] "D:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DH DC PE Live Update] D:\Driver Cleaner Pro\Automatic.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [gram sect] C:\DOKUME~1\Tom\ANWEND~1\MP3THU~1\gpl army debug.exe
O4 - HKCU\..\Run: [E06DXLRD_105711718] "D:\Enacart2006\Encarta 2006 Enzyklopaedie DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [eMuleAutoStart] G:\Emule\emule.exe -AutoStart
O4 - Startup: Client Default.lnk = D:\Samurize\Client.exe
O4 - Startup: Trillian.lnk = D:\Trillian\trillian.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with NetPumper - D:\NetPumper\AddUrl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: SFO Teil 1 - {1A768A07-91F5-47A8-925C-1F37E8CD5F15} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: SFO Teil 2 - {AABA90AF-9A96-48B3-AD10-8F673B6857A3} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\AVPersonal\AVWUPSRV.EXE
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NoIPDUCService - Vitalwerks LLC - D:\No-IP\DUC20.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - d:\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Trojaner TR/Swizzor, Lop Verseuchung
http://virus-protect.org/artikel/spyware/lop.html

an der Verseuchung deines PCs bist du selbst Schuld...warum laedst du auch Proggies, die den PC zerstoeren und surfst mit allen moeglichen P2P-Tools im Net rum.

lade die zwei zip-Dateien von dieser Seite und kopiere ab, was im Texteditor erscheint
http://virus-protect.org/artikel/tools/lop.html

Rapport fait à 17:27:37,27 le 07.02.2006

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Datentr„ger in Laufwerk G: ist Multimedia
Volumeseriennummer: 34C3-53AC

Verzeichnis von G:\Download\lopxp

07.02.2006 17:27 1.259 lopxp.bat
07.02.2006 17:27 <DIR> ..
07.02.2006 17:27 <DIR> .
1 Datei(en) 1.259 Bytes
2 Verzeichnis(se), 5.058.203.648 Bytes frei

******************************************
Recherche dans Program files

Le dossier C:\Programme\C2Media n'existe pas

*************** Fin du rapport ****************
Rapport fait à 17:28:04,42 le 07.02.2006

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 9463-0D8A

Verzeichnis von C:\Dokumente und Einstellungen\Tom\Desktop\Nicht verwendete Desktopverkn

[TRACE] Enumerating jobs and queues

Versteckte Dateien und Ordner sichtbar machen
http://virus-protect.org/invisible.html

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {B20F85B5-FFA2-EC5B-52DA-704BC86BC414} - C:\DOKUME~1\Tom\ANWEND~1\MAILOP~1\fork ace.exe
O4 - HKCU\..\Run: [gram sect] C:\DOKUME~1\Tom\ANWEND~1\MP3THU~1\gpl army debug.exe
O8 - Extra context menu item: Download with NetPumper - D:\NetPumper\AddUrl.htm

PC neustarten

deinstallieren:
NetPumper

loeschen
C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\MAILOP....
C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\MP3THU...

http://virus-protect.org/cleanup.html
stelle den Cleaner genauso ein, wie hier angegeben:

Counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove
*Quarantaine

wähle immer Remove und starte den PC neu

--------------------------------------------------------------------------------------------
scanne mit panda und kopiere hier den scanreport
http://virus-protect.org/onlinescan.html