[mardraum]

Hallo,

also, seit heute Morgen um 11 versuche ich lästige AdWare von meinem PC entgültig zu entfernen. Ich hab schon diverse AdWare Scanner immer wieder ausprobiert (AdAware, Microsoft AntiSpyware) und Norton Antivirus sowie AntiVir.
Immer wieder wird AdWare gefunden, die Pop Ups aufploppen lassen und meine Google Suchanfragen auf andere Seiten umlenken.
Unter anderem werden immer mal wieder gefunden:

SurfAccuracy Adware
180Solutions.SearchAssistant Adware
IST.ISTbar.ActiveX Spyware
Cydoor Adware

Löschen nützt scheinbar überhaupt nichts, denn sie komen immer wieder.
Ich hab keine Ahnung, was ich nun noch versuchen könnte...ich brauche HILFE!!!!!!!!!!!!!!

Hier mal ein Hijack this log:



Logfile of HijackThis v1.99.1
Scan saved at 16:52:46, on 15.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Programme\WinRAR\WinRAR.exe
E:\VisualBoyAdvance-1.7.2\Rar$EX00.859\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsofts Internet Virenfänger
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [InkSaver] C:\Programme\InkSaver\InkSaver.exe hide
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Programme\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunServices: [MS-DOS Security Service] ms-dos.pif
O4 - Startup: Miranda IM.lnk = C:\Programme\Miranda IM\miranda32.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Fotoabzug online bestellen ! - http://fotoup.fotose....php?hid=w3foto
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Outpost Firewall Pro-Schnelleinrichten - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft....k/?linkid=39204
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.bilderservice.de/direkt/static/...edropupload.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eB...l_v1-0-3-36.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw...nt/iftwclix.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...672/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6BD6FE23-47FC-4546-8763-D5804EEB2647}: NameServer = 194.97.173.124 194.97.173.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{EFFE840E-4030-4679-B267-736D2DA42BB1}: NameServer = 195.95.218.18,85.255.112.11
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O20 - Winlogon Notify: Syncmgr - C:\WINDOWS\system32\gpr6l39s1.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

[janboe]

ohje, dat sieht irgendwie nach format C aus.
Versuch vorher mal das:
O4 - HKCU\..\RunServices: [MS-DOS Security Service] ms-dos.pif
zu fixen.

[iiiiik]

Hi
versuch den mal :

Spybot Search and Destroy ( http://www.spybot.info/de/index.html )

[ArionZ]

Mhm warum hast du denn kein SP2 installiert?

[Vlad ExUs]

Nur mal ne frage am rande... Wie kann man den aus dem TExt von Hijack this was erkennen... also für mich sind das einfach buchstaben in einer komischen reihenfolge die keinen sinn ergeben

[sn00b]

hier!
http://www.hijackthis.de/
fügst du dein logfile ein klickst auf auswerten wartest einen moment und dann bekommst du eine auswertung!

am besten startest du erstmal in den abgesichertenmodus und scanst dort nochmal mit ad-aware und spybot S&D!


gruß

Dieser Beitrag wurde von Master.Max bearbeitet: 15. Januar 2006 - 17:19

[mardraum]

Danke für eure ANtworten. Was da auf hijackthis rauskam sieht nicht gut aus...ich werde wohl kam um ne Neuinstallation herum kommen, aber vorher teste ich nochmal den Spybot im Abgesicherten Modus...ich halt euch auf dem laufenden

[Win-Fan]

Hier die Auswertung

Warum noch kein Service Pack 2?

R3 - Default URLSearchHook is missing
fixen

O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Programme\Storm Codec\StormSet.exe" /S /opti
fixen (glaub kaum das das im Hintergrund unbedingt mitlaufen muss)

O4 - HKCU\..\RunServices: [MS-DOS Security Service] ms-dos.pif
unbedingt fixen (siehe Virenwarnung Sophos) Sophos: Spyware-Wurm (W32/Rbot-AMR)

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
Was zu unternehmen ist:
Insofern nicht z.B. in dem kostenlosen Anti-Spyware-Tool Spybot S&D die Option "Lock homepage from changes" aktiviert wurde, ist dieser Eintrag mit HijackThis zu fixen.

O8 - Extra context menu item: Fotoabzug online bestellen ! -http://fotoup.fotoserver.info/ie2wk.php?hid=w3foto
vielleicht nicht böse, aber würd ich dennoch fixen

O17 - HKLM\System\CCS\Services\Tcpip\..\{6BD6FE23-47FC-4546-8763-D5804EEB2647}: NameServer = 194.97.173.124 194.97.173.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{EFFE840E-4030-4679-B267-736D2DA42BB1}: NameServer = 195.95.218.18,85.255.112.11
wie angegeben, wenn diese IP oder die Domäne nicht bekannt sind und nicht zum Provider oder des eigenen Netzwerks gehören, fixen

O16 => Diese Einträge selbst prüfen und ggf. fixen
Beschreibung:
ActiveX-Objekte (auch bekannt als Downloaded Program Files)
Was zu unternehmen ist:
Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden!

Dieser Beitrag wurde von Win-Fan bearbeitet: 15. Januar 2006 - 19:01

[ArionZ]

Wenn du sowieso neuinstallierst dann mach dir ne CD in die du gleich das SP2 integrierst (wenn möglich auf einem unverseuchtem PC )

Dieser Beitrag wurde von ArionZ bearbeitet: 16. Januar 2006 - 13:20

[mardraum]

Also, das mit dem SP2 is so ne Sache bei meiner Windows Version...das lass ich mal besser...

Alle anderen umsetzbaren Tips sind leider gescheitert, so dass ich gestern ne Neuinstallation machen musste...dennoch danke für all eure Unterstützung

mardraum

[janboe]

Zitat (mardraum: 17.01.2006, 20:05)

Also, das mit dem SP2 is so ne Sache bei meiner Windows Version...das lass ich mal besser...
mardraum

Oje, sehr gefährlich.

[Graumagier]

mardraum sagte:

Also, das mit dem SP2 is so ne Sache bei meiner Windows Version...

Jaja, war ja klar dass einem die geblacklisteten Seriennummern irgendwann Probleme machen

[flo]

Für illegale Windowsversionen gibt es hier keinen Support

Thema geschlossen