[canutility]

Hallo!

ich brauch euch das problem wohl nicht lange schildern - ich verwende firefox, und seit heute öffnet regelmässig IE werbefenster.
dazu muss ich sagen, dass ich zwei Virenscanner habe, wobei ich den zweiten gerade auf das angegriffene system installiert habe,- avira (alt) hat von selbst 4 viren erkannt, ohne dass ich aktiv gescannt habe, hat das problem aber nicht behoben,-
und SUPERantispyware (neu installiert),-
hier ist mein hijack report:

CODE

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:37:44, on 11.05.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\DeltTray.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\Programme\Gemeinsame Dateien\Corel\Standby\Standby.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\DivX\DivX Update\DivXUpdate.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Gemeinsame Dateien\Nokia\NoA\nokiaaserver.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [M-Audio Delta Taskbar Icon] C:\WINDOWS\System32\DeltTray.exe
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Standby] "C:\Programme\Gemeinsame Dateien\Corel\Standby\Standby.exe" -START
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NokiaMServer] C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles startup
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [dfnnmiscrrvzcx] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\ppsgprevynpojqt.dll"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NokiaOviSuite2] C:\Programme\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe -tray
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FABS - Helping agent for MAGIX media database (Fabs) - MAGIX AG - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccess - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
O23 - Service: ServiceLayer - Nokia - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Programme\Iomega\AutoDisk\ADService.exe

--
End of file - 8387 bytes

ist da was verdächtiges darunter?
ich kann damit leider nicht viel anfangen!

vielen dank,

martin

[Mr. Floppy]

Willkommen im Forum!

Wenn Du schon Viren auf dem Rechner gefunden hast, dann bleibt nur plattmachen und neu aufsetzen. Alles andere ist unsinnig. Des weiteren solltest Du Dir überlegen, wie die Schädlinge auf Dein System gekommen sind und in Zukunft mit mehr Bedacht handeln. Nicht alles bedenkenlos anklicken, keine illegale Software nutzen - na ja, das übliche halt.

[DJxSpeedy]

mir fällt da spontan folgendes auf :

O4 - HKLM\..\Run: [dfnnmiscrrvzcx] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\ppsgprevynpojqt.dll"

[Taxidriver05]

Yepp...!

Dort sehe ich auch den Ursprung allen übels...

[canutility]

das heisst also diesen link in hijackthis löschen?

übrigens,--> ich kann ja nicht riechen, was man anklicken darf,
bedenkenlos ist das selten, ich kenn ja das internet mittlerweile ein bisschen,
das einzige was mir heute passiert ist, und was sehr selten vorkommt war das-->

ein "google video search link", (so eine seltsame google-interne auflistung), das mir einen flash-player andrehen wollte,
der sich dann aber nicht installieren liess. (obwohl ich ohnehin alles von adobe habe was es nur gibt!!)
und ab dann hat das mit dem selbst-öffnen von IE begonnen!!!

auslöser war die suche nach einem alten yoko ono/john lennon film,
also nichts allzu abwegiges, möchte man meinen!

mittlerweile hab ich übrigens beide antiviren-programme arbeiten lassen, und das problem ist,
so scheint es, vorerst behoben;

danke und gruesse,

martin

p.s.:
weil ihr sagt, sobald system befallen ist --> neu aufsetzen - --

kommt es bei euch nicht auch vor dass ein antivirus-programm irgendwas findet und in quarantäne schickt?

installiert ihr dann jedes mal das betriebssytem neu,
oder wie ist das in der praxis zu verstehen?

martin

[Candlebox]

Zitat (canutility: 12.05.2010, 00:36)

ich kann ja nicht riechen, was man anklicken darf



bedenkenlos ist das selten,



ich kenn ja das internet mittlerweile ein bisschen,


bedenkenlos ist das selten,



das einzige was mir heute passiert ist, und was sehr selten vorkommt



bedenkenlos ist das selten,



das mir einen flash-player andrehen wollte



ich kenn ja das internet mittlerweile ein bisschen,



der sich dann aber nicht installieren liess.



bedenkenlos ist das selten,



(obwohl ich ohnehin alles von adobe habe was es nur gibt!!)


ich kenn ja das internet mittlerweile ein bisschen,


und ab dann hat das mit dem selbst-öffnen von IE begonnen!!!

Also wenn man es so auseinandereißt, ergibt sich für mich ein ganz anderes Bild.

Dieser Beitrag wurde von Candlebox bearbeitet: 11. Mai 2010 - 23:47

[canutility]

ja da hast du natürlich vollkommen recht -
ich bin einfach zu unvorsichtig und viel zu wenig abgesichert -
und wenn man dann das, was ich gestern gesagt hab noch unter´s lupele nimmt,
wird es überdeutlich,- --> schwere fehler wohin man nur schaut!!

aber with a little help from my friends.com hat das noch immer irgendwie funkrioniert,
knock knock knock-

lg, martin

[Bullayer]

Bei einem Virenbefall würde ich nicht lange rummachen, sondern das System neu aufsetzen.

[canutility]

ok - dannn hab ich nur noch eine frage - soll ich am anfang "partition reparieren" oder
"neue partition" wählen, und worin besteht eigentlich der unterschied, rein praktisch?

martin