Hiho @ all
hab vollgendes Problem!

Ich öffne Arbeitsplatz durch einen Doppelklick und plötzlich springen ca 6 IE Seiten auf, mit irgendwelchen Werbungen oder Gewinnspielen ...
Habe Spybot S&D, Spyware Doctor, Adaware und Antivir durchlaufen lassen und das gelöscht was "infiziert" war, ca 2 Dateien ...
Aber das Problem ist immer noch vorhanden ... jemand ein Tipp?

Hijackthis Log:

Logfile of HijackThis v1.99.1
Scan saved at 14:59:55, on 23.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\Programs\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programs\Mousometer\mousometer.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programs\ICQLite\ICQLite.exe
D:\Programs\hijackthis_199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programs\AdobeReader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programs\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - D:\Programs\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - D:\Programs\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: Great Offers Displayer - {CE05B815-6F98-4ADD-AEB7-60BB2D4264F1} - C:\WINDOWS\bh.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programs\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Mousometer.lnk = D:\Programs\Mousometer\mousometer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programs\AdobeReader\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Programs\OfficeXP\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\Programs\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programs\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programs\ICQLite\ICQLite.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WB - D:\Programs\AlienGUIse\fastload.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - D:\Programs\Spyware Doctor\sdhelp.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programs\TuneUp\WinStylerThemeSvc.exe

mfg
eDe

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Hi
thx Nikita

Hier nach dem Scann mit CleanUp!

Verzeichnis von C:\WINDOWS\system32

24.03.2006 13:13 46.007 nvapps.xml
24.03.2006 13:13 2.206 wpa.dbl
24.03.2006 13:13 3.788 kspydoc.log
24.03.2006 13:13 0 Sweeper.cfg
15.03.2006 22:27 7.006 jupdate-1.5.0_06-b05.log
15.03.2006 19:21 3.534 jupdate-1.5.0_03-b07.log
09.03.2006 15:34 23.392 nscompat.tlb
09.03.2006 15:34 16.832 amcompat.tlb
09.03.2006 15:29 40.128 perfc009.dat
09.03.2006 15:29 48.354 perfc007.dat
09.03.2006 15:29 722.222 PerfStringBackup.INI
09.03.2006 15:29 316.924 perfh007.dat
09.03.2006 15:29 311.740 perfh009.dat
08.03.2006 19:46 110.992 FNTCACHE.DAT
08.03.2006 19:03 34.064 lhacm.acm
08.03.2006 18:33 146.650 BuzzingBee.wav
08.03.2006 18:33 940.794 LoopyMusic.wav
08.03.2006 17:30 261 spupdwxp.log
08.03.2006 17:07 552 d3d8caps.dat
08.03.2006 16:43 25.065 wmpscheme.xml
08.03.2006 16:41 261 $winnt$.inf
08.03.2006 16:40 2.951 CONFIG.NT
08.03.2006 16:39 488 logonui.exe.manifest
08.03.2006 16:39 488 WindowsLogon.manifest
08.03.2006 16:39 749 nwc.cpl.manifest
08.03.2006 16:39 749 ncpa.cpl.manifest
08.03.2006 16:39 749 sapi.cpl.manifest
08.03.2006 16:39 749 wuaucpl.cpl.manifest
08.03.2006 16:39 749 cdplayer.exe.manifest
08.03.2006 16:38 21.740 emptyregdb.dat
08.03.2006 16:37 0 h323log.txt
26.02.2006 21:31 40.960 GHME.dll
23.02.2006 10:22 348.160 msvcr71.dll
23.02.2006 10:22 1.047.552 mfc71u.dll
23.02.2006 10:22 57.344 avsda.dll
24.01.2006 19:34 118.784 sirenacm.dll


Verzeichnis von C:\DOKUME~1\tobsen\LOKALE~1\Temp

24.03.2006 13:14 16.384 ~DFC6C9.tmp
24.03.2006 13:14 16.384 ~DFAE45.tmp


Verzeichnis von C:\WINDOWS

24.03.2006 13:33 187 mousom.ini
24.03.2006 13:19 90.342 WindowsUpdate.log
24.03.2006 13:14 0 0.log
24.03.2006 13:13 2.048 bootstat.dat
23.03.2006 22:13 9.760 SchedLgU.Txt
23.03.2006 12:49 50 wiaservc.log
23.03.2006 12:49 663 wiadebug.log
23.03.2006 12:40 1.189.130 setupapi.log
23.03.2006 07:48 140 msicpl.ini
22.03.2006 18:09 400 ODBC.INI
22.03.2006 18:09 583 win.ini
22.03.2006 18:02 116 NeroDigital.ini
20.03.2006 17:55 176.273 setupact.log
17.03.2006 21:15 448.512 bh.dll
09.03.2006 16:07 5.760.054 AW_1600x1200.bmp
09.03.2006 16:01 3.932.214 InvaderDark1280.bmp
09.03.2006 16:00 51 wb.ini
09.03.2006 15:34 40.789 wmsetup.log
09.03.2006 15:34 242 wmsetup10.log
09.03.2006 15:34 316.640 WMSysPr9.prx
09.03.2006 15:29 16.266 ntdtcsetup.log
09.03.2006 15:29 133.662 iis6.log
09.03.2006 15:29 4.133 ocmsn.log
09.03.2006 15:29 26.254 comsetup.log
09.03.2006 15:29 4.507 imsins.log
09.03.2006 15:29 2.715 tabletoc.log
09.03.2006 15:29 29.340 tsoc.log
09.03.2006 15:29 2.933 msgsocm.log
09.03.2006 15:29 47.581 ocgen.log
09.03.2006 15:29 4.902 medctroc.Log
09.03.2006 15:29 39.772 FaxSetup.log
09.03.2006 15:29 8.195 netfxocm.log
09.03.2006 15:29 30.366 msmqinst.log
08.03.2006 18:56 227 system.ini
08.03.2006 18:33 60.416 ALCFDRTM.VER
08.03.2006 18:33 60.416 ALCFDRTM.EXE
08.03.2006 17:52 2.909 mozver.dat
08.03.2006 17:51 0 nsreg.dat
08.03.2006 17:51 107.134 UninstallFirefox.exe
08.03.2006 17:31 1.174 OEWABLog.txt
08.03.2006 17:31 771.320 setuplog.txt
08.03.2006 17:31 28.950 spupdsvc.log
08.03.2006 17:31 360 DtcInstall.log
08.03.2006 17:29 429.747 svcpack.log
08.03.2006 17:27 200 cmsetacl.log
08.03.2006 17:27 1.330 sessmgr.setup.log
08.03.2006 16:42 8.192 REGLOCS.OLD
08.03.2006 16:40 0 control.ini
08.03.2006 16:40 299.552 WMSysPrx.prx
08.03.2006 16:40 4.161 ODBCINST.INI
08.03.2006 16:40 280 Windows Update.log
08.03.2006 16:39 749 WindowsShell.Manifest
08.03.2006 16:38 36 vb.ini
08.03.2006 16:38 37 vbaddin.ini
08.03.2006 16:35 0 Sti_Trace.log
08.03.2006 16:34 1.348 regopt.log
08.03.2006 16:34 0 setuperr.log
01.12.2004 08:54 77.824 SOUNDMAN.EXE


Verzeichnis von C:\

24.03.2006 13:35 0 sys.txt
24.03.2006 13:34 4.793 system.txt
24.03.2006 13:34 336 systemtemp.txt
24.03.2006 13:34 98.603 system32.txt
24.03.2006 13:13 1.610.612.736 pagefile.sys
08.03.2006 18:56 211 boot.ini
08.03.2006 17:25 47.564 NTDETECT.COM
08.03.2006 17:25 251.184 ntldr
08.03.2006 16:40 0 IO.SYS
08.03.2006 16:40 0 CONFIG.SYS
08.03.2006 16:40 0 AUTOEXEC.BAT
08.03.2006 16:40 0 MSDOS.SYS
18.08.2001 20:00 4.952 bootfont.bin

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ......

C:\WINDOWS\bh.dll
C:\WINDOWS\System32\Sweeper.cfg
C:\WINDOWS\System32\kspydoc.log

PC neustarten

scanne mit bitdefender ScanOnline neu und poste den scanreport
http://virus-protect.org/onlinescan.html

Hi Nikita

THX es ist weg!

mfg

eDonkey aka Spywaretoby

--- closed ---