Spyware, fieser Virus WINDOWS SECURTITY ALERT

  • Hallo zusammen,
    ich habe mir wahrscheinlich einen fiesen Virus oder ähnliches eingefangen und bekomme diesen nicht wieder entfernt.
    Ich bekommen alle paar Minuten eine Meldung: WINOWS SECURITY ALERT-Windows has detected an Internet attack attempt...Somebody's trying to infect your PC with spyware or harmful viruses. Run full system scan now to protect your PC from Internet attacks, hijacking attempts and spyware! Click here to download spyware remover for total protection.
    Diese klicke ich natürlich immer weg, da sie mir komisch vorkommt.
    Außerdem blinkt in der Taskleiste ein rotes Kreuz, bei dem sich immer eine Sprechblase mit ähnlichen Inhalt, s.o., öffnet.
    Auch nach dem Anmelden von Windows erhalte ich jedes mal 3 Desktop-Verknüpfungen, die angeblich Antivirenprogramme sind.
    ich bitte euch deshalb um Hilfe, da ich es alleine nicht bewältigen kann.
    Letztendlich nun noch mein Logfile von HiJackThis:


    Logfile of HijackThis v1.99.1
    Scan saved at 13:04:24, on 28.03.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 SP2 (7.00.6000.16608)


    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\FRITZ!DSL\IGDCTRL.EXE
    C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\System32\PAStiSvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\wanmpsvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\RunDll32.exe
    C:\WINDOWS\Dit.exe
    C:\WINDOWS\mHotkey.exe
    C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
    C:\WINDOWS\system32\PRISMSTA.EXE
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\WINDOWS\DitExp.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\WINDOWS\system32\ctfmon.exe
    D:\Programme\QIP\qip.exe
    C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
    C:\WINDOWS\CNYHKey.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\DOKUME~1\Ben\LOKALE~1\Temp\Rar$EX00.547\HijackThis.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Opera\Opera.exe


    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/ju…d=6010&mid=MjI6Ojg5&lid=2
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [Dit] Dit.exe
    O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
    O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
    O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
    O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [NI.UGA6PU_0001_N120M1202] "c:\dokumente und einstellungen\ben\anwendungsdaten\install_de[1].exe"
    O4 - HKLM\..\RunOnce: [IERESETATTRIB] %SystemRoot%\system32\cmd.exe /d /q /c %SystemRoot%\system32\ieudinit.exe -ResetFileAttributes
    O4 - HKLM\..\RunOnce: [IERESETICONS] %SystemRoot%\system32\cmd.exe /d /q /c %SystemRoot%\iereseticons.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
    O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
    O4 - HKCU\..\Run: [QIP2005] D:\Programme\QIP\qip.exe
    O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
    O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
    O4 - Global Startup: Image Transfer.lnk = C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
    O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.c…d/scanner/wlscbase370.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.micros…eb_site.cab?1097097604265
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
    O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game14.zylomgames.com/activex/zylomgamesplayer.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/…tatsPAClient.cab56907.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.…ve/cabs/flash/swflash.cab
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/…/MineSweeper.cab56986.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{484662B2-4CB5-4F3F-BF5A-E1255CF6CA21}: NameServer = 192.168.178.1
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O21 - SSODL: vbgtorfd - {A2EC74DD-F20C-451B-9E26-85E6B183AC8D} - C:\WINDOWS\vbgtorfd.dll
    O21 - SSODL: dwnrpofk - {3B700D98-5555-421D-B291-4ECF5221FBFA} - C:\WINDOWS\dwnrpofk.dll
    O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
    O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
    O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
    O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)
    O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
    O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

  • Hijackthis war schon mal ein großer Schritt in die richtige Richtung
    fixe folgende Einträge:


    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/ju…d=6010&mid=MjI6Ojg5&lid=2


    O4 - HKLM\..\Run: [NI.UGA6PU_0001_N120M1202] "c:\dokumente und einstellungen\ben\anwendungsdaten\install_de[1].exe"


    O4 - HKLM\..\RunOnce: [IERESETATTRIB] %SystemRoot%\system32\cmd.exe /d /q /c %SystemRoot%\system32\ieudinit.exe -ResetFileAttributes


    O4 - HKLM\..\RunOnce: [IERESETICONS] %SystemRoot%\system32\cmd.exe /d /q /c %SystemRoot%\iereseticons.exe


    O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)

  • Gut, das habe ich soweit gemacht, doch ich kann die Datei mit dem "install_de[1].exe" und die Datei mit der Firewall nicht fixen.
    Es kommt diese Nachricht:
    Unexpected error occurred!
    Error #52 (Dateiname oder-nummer falsch) in Sub GetLongPath(exe".exe).
    Please send a report to merijn@spywareinfo.com, mentionong what you were doing, and what version of Windows you have.
    This massage has been copied to your clipboard.


    Was hat das zu bedeuten :?: :!:

  • Das Programm läuft mit einer vordefinierten Grundeinstellung. Mach mal einen Durchlauf mit diesen Einstellungen. Sollte das Problem danach weiterhin präsent sein, kannst du die Häkchen so setzen, dass dein gesamter PC untersucht wird.

  • Ich habe mal mit Combofix einen Scan gemacht...:


    ComboFix 08-03-26.3 - Ben 2008-03-28 17:32:54.1 - NTFSx86
    Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.848 [GMT 1:00]
    ausgeführt von:: C:\Dokumente und Einstellungen\Ben\Desktop\ComboFix.exe
    * Neuer Wiederherstellungspunkt wurde erstellt


    WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
    .


    (((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
    .


    C:\Programme\myglobalsearch
    C:\Programme\myglobalsearch\bar\1.bin\M9FFXTBR.JAR
    C:\Programme\myglobalsearch\bar\1.bin\M9FFXTBR.MANIFEST
    C:\Programme\myglobalsearch\bar\1.bin\M9NTSTBR.JAR
    C:\Programme\myglobalsearch\bar\1.bin\M9NTSTBR.MANIFEST
    C:\Programme\myglobalsearch\bar\1.bin\M9PLUGIN.DLL
    C:\Programme\myglobalsearch\bar\1.bin\NPMYGLSH.DLL
    C:\Programme\myglobalsearch\bar\Cache\00098C75.bin
    C:\Programme\myglobalsearch\bar\Cache\00098EE6.bin
    C:\Programme\myglobalsearch\bar\Cache\000991A5.bin
    C:\Programme\myglobalsearch\bar\Cache\000EB580
    C:\Programme\myglobalsearch\bar\Cache\files.ini
    C:\Programme\myglobalsearch\bar\History\search
    C:\Programme\myglobalsearch\bar\Settings\prevcfg.htm
    C:\svchost.exe
    C:\WINDOWS\Fonts\acrsecB.fon
    C:\WINDOWS\Fonts\acrsecI.fon
    C:\WINDOWS\qvdntlmw.dll
    C:\WINDOWS\smdat32a.sys
    C:\WINDOWS\smdat32m.sys
    D:\Autorun.inf


    .
    ((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-28 ))))))))))))))))))))))))))))))
    .


    2008-03-28 15:01 . 2008-03-28 15:01 <DIR> d----c--- C:\Dokumente und Einstellungen\Ben\SmitfraudFix
    2008-03-28 11:26 . 2008-03-28 11:26 230 --a--c--- C:\WINDOWS\system32\spupdsvc.inf
    2008-03-28 11:21 . 2008-03-28 11:27 1,374 --a--c--- C:\WINDOWS\imsins.BAK
    2008-03-28 00:08 . 2008-03-28 00:08 <DIR> d----c--- C:\Dokumente und Einstellungen\Ben\DoctorWeb
    2008-03-27 23:51 . 2008-03-28 15:14 3,674 --a--c--- C:\WINDOWS\system32\tmp.reg
    2008-03-27 23:39 . 2008-03-28 13:41 <DIR> d----c--- C:\Programme\Windows Live Safety Center
    2008-03-27 23:30 . 2008-03-27 23:30 <DIR> d----c--- C:\Programme\SichererAntivirus
    2008-03-19 16:55 . 2008-03-19 16:56 <DIR> d----c--- C:\Programme\Safari
    2008-03-18 22:30 . 2007-03-28 18:42 29,704 --a--c--- C:\WINDOWS\system32\uxtuneup.dll
    2008-03-03 22:34 . 2008-03-03 22:34 <DIR> d----c--- C:\WINDOWS\Sun
    2008-03-03 19:01 . 2008-03-03 19:01 <DIR> d----c--- C:\Programme\Teamspeak2_RC2
    2008-03-03 13:08 . 2008-03-03 13:10 <DIR> d-a--c--- C:\Counter-Strike 1.6
    2008-02-28 14:50 . 2001-11-30 16:49 98,304 --a--c--- C:\WINDOWS\system32\Sbe6@deu.dll


    .
    (((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-03-27 23:47 --------- dc----w C:\Programme\Alt WAV MP3 WMA OGG Converter
    2008-03-27 14:18 22,328 -c--a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
    2008-03-27 14:18 107,832 -c--a-w C:\WINDOWS\system32\PnkBstrB.exe
    2008-03-24 11:07 --------- dc-h--w C:\Programme\InstallShield Installation Information
    2008-03-21 01:16 --------- dc----w C:\Dokumente und Einstellungen\Ben\Anwendungsdaten\Hamachi
    2008-03-20 21:10 98,304 -c--a-w C:\WINDOWS\system32\CmdLineExt.dll
    2008-03-19 20:51 --------- dc----w C:\Programme\ICQLite
    2008-03-18 21:24 --------- dc----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
    2008-03-18 18:15 22,760 -c--a-w C:\Dokumente und Einstellungen\Ben\Anwendungsdaten\wklnhst.dat
    2008-03-14 06:29 921,632 -c--a-w C:\PA7311.DAT
    2008-03-11 20:08 --------- dc----w C:\Programme\Java
    2008-03-04 15:05 --------- dc----w C:\Dokumente und Einstellungen\Ben\Anwendungsdaten\Xfire
    2008-03-01 09:11 --------- dc----w C:\Programme\Gemeinsame Dateien\Symantec Shared
    2008-02-27 14:27 --------- dc----w C:\Programme\iTunes
    2008-02-27 14:27 --------- dc----w C:\Programme\iPod
    2008-02-27 14:25 --------- dc----w C:\Programme\QuickTime
    2008-02-26 13:20 --------- dc----w C:\Programme\Opera
    2008-02-21 01:57 54,608 -c--a-w C:\WINDOWS\system32\xfcodec.dll
    2008-02-19 13:38 --------- dc----w C:\Programme\Gemeinsame Dateien\Adobe
    2008-01-31 13:49 --------- dc----w C:\Programme\Canon
    2008-01-28 13:25 --------- dc----w C:\Programme\TuneUp Utilities 2007
    2008-01-08 13:35 66,872 -c--a-w C:\WINDOWS\system32\PnkBstrA.exe
    2008-01-08 13:29 22,328 -c--a-w C:\Dokumente und Einstellungen\Ben\Anwendungsdaten\PnkBstrK.sys
    2007-12-25 22:23 92,064 -c--a-w C:\Dokumente und Einstellungen\Ben\mqdmmdm.sys
    2007-12-25 22:23 9,232 -c--a-w C:\Dokumente und Einstellungen\Ben\mqdmmdfl.sys
    2007-12-25 22:23 79,328 -c--a-w C:\Dokumente und Einstellungen\Ben\mqdmserd.sys
    2007-12-25 22:23 66,656 -c--a-w C:\Dokumente und Einstellungen\Ben\mqdmbus.sys
    2007-12-25 22:23 6,208 -c--a-w C:\Dokumente und Einstellungen\Ben\mqdmcmnt.sys
    2007-12-25 22:23 5,936 -c--a-w C:\Dokumente und Einstellungen\Ben\mqdmwhnt.sys
    2007-12-25 22:23 4,048 -c--a-w C:\Dokumente und Einstellungen\Ben\mqdmcr.sys
    2007-12-25 22:23 25,600 -c--a-w C:\Dokumente und Einstellungen\Ben\usbsermptxp.sys
    2007-12-25 22:23 22,768 -c--a-w C:\Dokumente und Einstellungen\Ben\usbsermpt.sys
    2006-03-29 12:07 1 -c--a-w C:\Dokumente und Einstellungen\Ben\SI.bin
    2006-02-15 12:36 109,070 -c--a-w C:\Programme\INSTALL.LOG
    2005-04-29 13:50 60,776 -c--a-w C:\Dokumente und Einstellungen\Ben\Anwendungsdaten\GDIPFONTCACHEV1.DAT
    2003-08-14 17:13 40,960 -c--a-w C:\Programme\Uninstall_PCM.exe
    2002-02-28 22:33 3,063 -c--a-w C:\Programme\CheeseCampers.txt
    2001-11-21 22:23 3,677 -c--a-w C:\Programme\52-TopTenPack.txt
    2001-11-16 18:32 61,540 -c--a-w C:\Programme\52.wad
    2001-10-12 19:14 882,908 -c--a-w C:\Programme\mad_spain_addon.wad
    2001-10-12 09:54 3,846,804 -c--a-w C:\Programme\mad_spain.wad
    .


    (((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.


    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57 15360]
    "CursorXP"="C:\Programme\CursorXP\CursorXP.exe" [2005-01-19 16:34 128000]
    "Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-10-23 22:18 443968]
    "QIP2005"="D:\Programme\QIP\qip.exe" [2008-03-21 23:32 3254784]


    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Cmaudio"="cmicnfg.cpl" [2003-09-12 19:07 2244608 C:\WINDOWS\CMICNFG.CPL]
    "Dit"="Dit.exe" [2002-08-28 12:43 73728 C:\WINDOWS\Dit.exe]
    "CHotkey"="mHotkey.exe" [2003-06-27 14:39 506368 C:\WINDOWS\mHotkey.exe]
    "PCMService"="C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" [2003-06-24 14:23 61440]
    "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-28 20:05 344064]
    "PRISMSTA.EXE"="PRISMSTA.exe" [2003-08-04 14:54 215552 C:\WINDOWS\system32\PRISMSTA.exe]
    "PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2003-05-28 15:37 394240]
    "AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2006-11-17 12:05 71216]
    "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2003-09-26 13:53 151597]
    "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 18:41 249896]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-21 04:29 7770112]
    "nwiz"="nwiz.exe" [2006-10-21 04:32 1519616 C:\WINDOWS\system32\nwiz.exe]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-21 04:30 81920]
    "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
    "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
    "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-31 23:13 385024]
    "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 13:10 267048]
    "NI.UGA6PU_0001_N120M1202"="c:\dokumente und einstellungen\ben\anwendungsdaten\install_de[1].exe" [ ]
    "a-squared"="D:\Programme\a-squared Anti-Malware\a2guard.exe" [2008-01-07 17:56 1816208]


    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57 15360]


    C:\Dokumente und Einstellungen\Ben\Startmen

  • Habe auch dieses Problem !!


    Tut mir leid dass ich mich hier kurz einklinke. Habe mir auf meinem Arbeits-Notebook auch jede Menge Spyware und Adaware eingefangen, deren Werbeicons selbst nach Beheben der Probleme mit den Programmen wie spybot, Adaware 2007 und Spywaredoctor immer wieder auf dem Desktop zum Vorschein kommen. Zum einem ist das auf dem Arbeits-Notebook, wo jeder zugreifen kann nicht besonders vorteilhaft (muss nicht jeder wissen), zum Anderen behindert es mein System durch ständig hervortretende Warnungen von irgendwelchen Anti-Spareware Herstellern (z.B Privacy Protection...). Traue mich auch nicht auf den Zentralserver mit meinem Notebook zuzugreifen.- Besteht hier eine Gefahr??_


    Habe dann HijackThis verwendet um mögliche gefährdete Pfade anzeigen zu lassen.
    Bitte nun euch Profis mir als Leie zu erläutern, welche ich löschen kann und welche wichtig für den Erhalt meines Systems sind.


    Das Problem des B33N_1991 kann man nahezu identisch auf mich beziehen.
    In einem Anderen Forum gab mir jemand folgenden Tipp:


    "wenn du das problem noch hast,



    download von filelist.zip auf deinen desktop.


    entpacke hier die zip datei


    starte nun durch einen doppelklick auf die datei filelist.bat das stapelverarbeitungsprogramm


    dein bevorzugtes textverarbeitungsprogramm wird sich öffnen


    markiere den inhalt und füge in hier im forum in deinem beitrag ein.


    wichtig: logfile im tag [code] posten


    formatiere nun deinen beitrag vor dem speichern, in dem du alle texte, die ein älteres datum besitzen, als die letzten 30 tage, aus der liste löscht.


    das sind alle verzeichnisse, die mit dieser filelist.bat ausgelesen werden.
    Verzeichnis von C:\


    Verzeichnis von C:\WINDOWS


    Verzeichnis von C:\WINDOWS\system


    Verzeichnis von C:\WINDOWS\system32 --> von hier bitte alles posten


    Verzeichnis von C:\WINDOWS\Prefetch


    Verzeichnis von C:\WINDOWS\tasks


    Verzeichnis von C:\WINDOWS\Temp


    Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp



    --------------------------------------------------------------------------------
    lg
    Speedyweb
    hier findest du etwas von hijackthis oder meine security-linksamlung oder auch eine mozilla linksammlung
    -----------------------------------------------------------------------------------


    Kann man der Vorgehensweise vertrauen!!??
    Oder gehe ich nach den hier beschriebenen Weg vor?



    Vielen Dank vorab


    Auswertung des HijackThis Vorgangs lautet wiefolgt:


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:02:59, on 28.04.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16640)
    Boot mode: Normal


    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
    C:\Programme\Spyware Doctor\pctsAuxs.exe
    C:\Programme\Spyware Doctor\pctsSvc.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\khooker.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
    C:\Programme\Spyware Doctor\pctsTray.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    F:\HijackThis\HijackThis.exe
    C:\WINDOWS\System32\wbem\wmiprvse.exe


    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/ju…d=6010&mid=MjI6Ojg5&lid=2
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {1E044DA8-9A20-4F41-AF2E-ED55AE04E4AF} - (no file)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: (no name) - {A6C54318-5AC7-477D-B0A7-49AF5189300C} - C:\WINDOWS\system32\khfETlLf.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
    O2 - BHO: DVA Gate - {AEAFB69D-EDE2-47C8-BDBA-D8938DE059D3} - C:\WINDOWS\qnmargolewk.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O2 - BHO: (no name) - {C0E63184-0F82-4968-85D0-B21BE0F9E01D} - (no file)
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
    O3 - Toolbar: dpevflbg - {CE66268D-0208-4D9E-8BC7-12D91072A34D} - C:\WINDOWS\dpevflbg.dll
    O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
    O4 - HKLM\..\Run: [d8638778] rundll32.exe "C:\WINDOWS\system32\mgafbaot.dll",b
    O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [dufyzxfk] C:\WINDOWS\system32\hunqdspk.exe
    O4 - HKLM\..\Policies\Explorer\Run: [AVqAhT0CIp] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dmzkjofm\tktcbsbg.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - S-1-5-18 Startup: wfp-verzeichnis-ap08.lnk = skripte\wfp-verzeichnis-ap08.cmd (User 'SYSTEM')
    O4 - .DEFAULT Startup: wfp-verzeichnis-ap08.lnk = skripte\wfp-verzeichnis-ap08.cmd (User 'Default user')
    O4 - Startup: wfp-verzeichnis-ap08.lnk = skripte\wfp-verzeichnis-ap08.cmd
    O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F3BB199D-4424-4A06-BF55-C9CC3E50272B}: NameServer = 194.25.0.60,192.168.0.100
    O20 - Winlogon Notify: khfETlLf - C:\WINDOWS\SYSTEM32\khfETlLf.dll
    O21 - SSODL: vadokmxt - {EC51C63B-7735-461F-93AB-B0677BC56D4F} - C:\WINDOWS\vadokmxt.dll
    O21 - SSODL: wdpoefan - {92D0BC40-A753-48F1-8870-ADA1AFE4237D} - C:\WINDOWS\wdpoefan.dll
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Unknown owner - C:\Norman\Npm\bin\ELOGSVC.EXE (file missing)
    O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
    O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

  • Das scheint ziemlich sicher ein Browser Hijacker zu sein. Du kannst dein HiJackThis Logfile selber auswerten lassen:
    http://www.hijackthis.de/de
    Einfach dein Ergebnis per copy & paste in das Textfeld eingeben und du wirst sehen, dass da ein paar schädliche Einträge dabei sind.
    Zusätzliche Maßnahmen:
    Bitdefender Online Scan:
    http://www.bitdefender.de/
    funktioniert aber nur mit IE


    Yahoo Toolbar mit CA Antispy Modul:
    http://de.toolbar.yahoo.com/
    Das Antispyware Modul funktioniert sehr gut!


    a squared free:
    http://www.emsisoft.de/de/software/free/
    sucht Trojaner, Spyware, Adware, Würmer, Keylogger, Rootkits, Dialer

  • Danke für deine Infos!!


    HijackThis.de hat schon einen äußerst schädliches Programm herausgefiltert, welches ich nun fixen werde!!


    Das mit emisoft funktioniert leider nur mit Administratorzugang!!

  • Hi Leute,


    konnte das Problem mit Smitfraud.exe beheben. Hab es heruntergeladen (kostenlos) und bin nach den Anweisungen vorgegangen.


    Seitdem habe ich keine Winows alert etc. und unerwünschte Icons auf dem Desktop.



    :P

  • Gratuliere zur Entfernung:)!
    Wir haben auf der Arbeit spyware doctor auf den Rechnern, das hat bisher schon die Einnistung von dem ganzen Kram verhindert, dann hat man gar nicht erst die Entfernung am Hals.

    Dies ist das Ende des Beitrags. Hier müßte eigentlich die Signatur stehen. Tut sie aber nicht. Seltsam. Sehr seltsam.