[Felix02]

HI Leute,
ich habe das allseits bekannte Problem, dass mein Desktop mit diesem hässlichen Kästchen und aufschrift ''Spyware infected'' geschmückt wird.
Wenn ich online bin, öffnen sich alle 1-2 min verschiedene Fenster. Auch kann ich im Desktopmenu mein Hintergrund ect. nicht mehr verändern. Mein PC wirkt irgendwie extrem langsamer. Da ich über verschiedene Suchseiten drauf gekommen bin, lasse ich euch mal dieses Logfile da. Vielleicht könnt ihr mir da ein wenig weiterhelfen und dass diese blöden Fenster endlich verschwinden.
Ich hoffe ihr könnt mir weiterhelfen.
Viele GRüße Felix



Logfile of HijackThis v1.99.1

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\LEXPPS.EXE
D:\WINDOWS\system32\rundll32.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\QuickTime\qttask.exe
D:\WINDOWS\S2Vu\command.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\wscntfy.exe
D:\DOKUME~1\Felix\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe
D:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
d:\progra~1\intern~1\iexplore.exe
D:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
D:\DOKUME~1\Felix\LOKALE~1\Temp\Temporäres Verzeichnis 7 für hijackthis.zip\HijackThis.exe

O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CU1] D:\Programme\Common Files\VCClient\VCClient.exe
O4 - HKCU\..\Run: [CU2] D:\Programme\Common Files\VCClient\VCMain.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - D:\Programme\Haufe\HaufeReader\HRInstmon.dll (file missing)
O20 - Winlogon Notify: SharedDlls - D:\WINDOWS\system32\jtpm0771e.dll
O23 - Service: Command Service (cmdService) - Unknown owner - D:\WINDOWS\S2Vu\command.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE

[flo]

Hallo

Da fehlt der Kopf des Hijack This Log!

Da wo Das Betriebssystem usw drinsteht, bitte mitposten

[Felix02]

Ohh sorry..
Hier isser nochmal komplett

Logfile of HijackThis v1.99.1
Scan saved at 14:51:00, on 12.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\LEXPPS.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\rundll32.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\QuickTime\qttask.exe
D:\WINDOWS\S2Vu\command.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
d:\progra~1\intern~1\iexplore.exe
D:\DOKUME~1\Felix\LOKALE~1\Temp\Temporäres Verzeichnis 10 für hijackthis.zip\HijackThis.exe

O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CU1] D:\Programme\Common Files\VCClient\VCClient.exe
O4 - HKCU\..\Run: [CU2] D:\Programme\Common Files\VCClient\VCMain.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0414E53-A8B4-446E-A03A-E9BA4F503854}: NameServer = 217.237.149.225 217.237.150.141
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - D:\Programme\Haufe\HaufeReader\HRInstmon.dll (file missing)
O20 - Winlogon Notify: Media Center - D:\WINDOWS\system32\enj2l11o1.dll
O23 - Service: Command Service (cmdService) - Unknown owner - D:\WINDOWS\S2Vu\command.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE

Dieser Beitrag wurde von Felix02 bearbeitet: 12. Dezember 2005 - 14:49

[Win-Fan]

Hier die Auswertung
Lösch (Fixen) die beiden als "Böse" markierten Einträge D:\WINDOWS\S2Vu\command.exe.
Hier noch etwas zu der Datei command.exe. Antivirus online (zwar schon etwas älter, aber egal, kann ja ein anderer Virus sein der sich evtl. als command.exe ausgibt)
Genauso solltest du den "unbekannten" Eintrag "O20 - Winlogon Notify: Media Center - D:\WINDOWS\system32\enj2l11o1.dll" fixen, falls du ihn zu keiner dir bekannten Anwendung zuordnen kannst.

Dieser Beitrag wurde von Win-Fan bearbeitet: 12. Dezember 2005 - 16:31

[Felix02]

Hi,
erstemal danke für die schnellen Antworten. Habe die besagten bösen dinger gefixt, wenn ich aber anschliessend erneut scanne, sind sie wieder da.
was kann ich tun?

[flo]

Hast du auch im Abgesicherten Modus, bei deaktivierter Systemsteuerung die sachen gefixt?

Das wird hier gerne vergessen zu erwähnen.

[Felix02]

äähhm nee, war auch online als ich das gemacht habe. Habe wie gesagt wenig ahnung...auch wie ich den abges. Modus herstellen soll . Deakt. Systemsteuerung? K.A.

[Urne]

Rechner neustarten und bevor der Bootscreen mit dem Windows Ladebalken kommt F8 drücken. Dann stehen die Optionen zur Verfügung.

[Felix02]

ok werd ich gleich mal probieren. und wie stell ich das an mit der deaktivierten systemsteuerung?

[flo]

Du gehst in die Systemsteuerung und da in System, da gibt es einen Reiter "Systemwiederherstellung", da draufgehen, und das Kästchen "Systemwiederherstellung deaktivieren" aktivieren

[Felix02]

also hab jetzt alles gemacht wie ihr das gesagt habt, nur sind die einträge einfach noch da.

Und diese Fenster öffnen sich immer wieder wenn ich online bin. bin echt verzweifelt



Logfile of HijackThis v1.99.1
Scan saved at 20:27:04, on 12.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\rundll32.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\LEXPPS.EXE
D:\WINDOWS\Explorer.EXE
D:\Programme\QuickTime\qttask.exe
D:\WINDOWS\S2Vu\command.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
d:\progra~1\intern~1\iexplore.exe
D:\DOKUME~1\Felix\LOKALE~1\Temp\Temporäres Verzeichnis 16 für hijackthis.zip\HijackThis.exe

O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CU1] D:\Programme\Common Files\VCClient\VCClient.exe
O4 - HKCU\..\Run: [CU2] D:\Programme\Common Files\VCClient\VCMain.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0414E53-A8B4-446E-A03A-E9BA4F503854}: NameServer = 217.237.149.225 217.237.150.141
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - D:\Programme\Haufe\HaufeReader\HRInstmon.dll (file missing)
O20 - Winlogon Notify: DateTime - D:\WINDOWS\system32\g8jo0i13e8.dll
O23 - Service: Command Service (cmdService) - Unknown owner - D:\WINDOWS\S2Vu\command.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE

[flo]

Oh, dann mach das ganze nochmal, und lösch die dateien auch noch manuell im Abgesicherten Modus.

Der sicherste weg ist allerdings das Formatieren denn:

Kompromittierung

Dieser Beitrag wurde von Flo bearbeitet: 12. Dezember 2005 - 20:27

[Felix02]

habe leider auch da nichts gefunden. Steht nichts mit command.exe drinnen...

[Win-Fan]

Geh mal auf Start => Ausführen => geb msconfig ein und klick auf OK bzw Entertaste
In dem sich öffnenden Fenster wechselst du (oben) auf den Reiter Dienste, und setzt (unten) das Häkchen bei "Alle Microsoft-Dienste ausblenden" (siehe Bild), und listest die noch verbleibenden Dienste hier auf. So kann man wenigstens erstmal die MS-Dienste von den nicht MS-Diensten übersichtlicher trennen.
Könntest auch noch die command.exe bzw. gleich dein Windowsverzeichniss per Online-Scan nochmal überprüfen lassen und anschließend die Datei bzw. auch den Ordner S2Vu evtl. manuell löschen.
F-Secure Online-Virenscanner
McAfee FreeScan
Panda ActivScan

Angehängte Miniaturbilder

• 

Dieser Beitrag wurde von Win-Fan bearbeitet: 12. Dezember 2005 - 22:39