Spyware/Adware: 180solutions

Internet Internet Sicherheit
1

Hallo ihr ^^

Mein Problem behandelt zwar Adware, hoffe ich darf hier trotzdem posten ^^

Seit ca. 2 Wochen bekomm ich in unregelmäßigen Abständen diese Nachricht vom Bitdefender AV Guard:
C:\Dokumente und Einstellungen\Jana\Lokale Einstellungen\Temp\oiqt2s5v.exe
Erkannt:
Adware.180Solutions.AS
siehe: http://img11.picsplace.to/img10/19/180solutions_1.gif

Die Datei lässt sich nicht entfernen, wenn man es versucht kommt die Windows Fehlermeldung:
oiqt2s5v kann nicht gelöscht werden: Die Quelldatei oder vom Quelldatenträger kann nicht gelesen werden

In nachvollziehbaren Abständen (immer wenn Firefox nach einem Reboot gestartet wird), diese Nachricht:
C:\Dokumente und Einstellungen\Jana\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles
Erkannt:
Adware.180Solutions.AS
siehe: http://img11.picsplace.to/img10/19/180solutions_2.gif

Nun krieg ich keine weiteren Informationen darüber. In den Meldungen ist zwar ein Link aber der bringt keine Informationen, sondern führt nur zur Virussuchmaschine von BitDefender, und die findet nix unter 180.

Über Google ist es auch schwer was relevantes/brauchbares zu finden, da 180 Solutions an sich wohl eine Firma ist die diverse Adware für Freeware erstellt oder sowas und ich nicht weiß welche Adware speziell ich habe (hab auch keine neuen aktive Prozesse laufen, siehe unten).

Das einzige was ich bisher gemerkt habe (nachdem ich darüber im Internet las) war das im IE (den ich nicht nutze) ein neuer Bookmarkordner mit Bookmarks zu diversen Seiten (Leisure, Security etc.) erstellt wurde. Diese hab ich unbesucht gelöscht und der ist auch nicht wieder aufgetaucht. Die Startseite vom IE ist immernoch about:blank (über Google las ich das die Startseite vom IE eigentlich auch geändert wird zu irgend einer Suchmaschine).

In dem Zeitraum habe ich 1-3 Erweiterungen für den FF installiert. Kann sowas über diese kommen?
Die einzige die ich da in Verdacht hätte wäre:
„FoxGame“ http://foxgame.mozdev.org/index.en.html
Aber da es von so vielen genutzt wird (http://www.owiki.de/FoxGame) und ich nichts finde was es (oder irgendeine andere der kürzlich installierten Erweiterungen) in Verbindung mit Spy- Adware bringt, bin ich skeptisch.

Mein Netzwerk wurde schon vorher von mir deaktivert, ich öffne keine Anhänge, bekam auch keine dubiosen Mails mit Bildern oder Anhängen, hab nichts installiert was unsicher wäre (nur schon vorhandene Programme wie SUPER aktualisiert).

Also mein Problem:
Wie finde ich raus WAS ich von 180 Solutions habe.
Wie finde ich raus woher es kam (damit sich das nicht wiederholt).
Und wie werde ich es los, obwohl das zweitrangig ist… könnte nen Image drüber spielen… aber wenn’s anders einfacher/schneller geht…

Autostart, Systemstart, Prozesse, Softwareliste wurden ergebnislos überprüft.
Virusscan, Scan mit Spybot, Adaware, a-square hat nichts in der Richtung ergeben (fanden nur paar langweilige Trackingcookies).
Wiederherstellungspunkte wurden gelöscht und eine Systembereinigung durchgeführt. Alle löschebaren Daten vom FF wurden gelöscht (Temp, Cookies, History, Cache). Keine Veränderung.
HijackThis zeigte auch keine mir unbekannten Prozesse, Addons oder gar etwas bösartiges an.

Bin ratlos.
Irgend einen aktiven Prozess muss es doch geben damit diese Meldung getriggert wird.

Wenn es was nützt:
Prozesse Windows Task Manager: http://img11.picsplace.to/img10/19/prozesse2.gif
Prozesse Security Task Manager: http://img11.picsplace.to/img10/19/prozesse1.gif

MfG
Lilly

2

Hallo ihr ^^

Hallo Du^^

Mein Problem behandelt zwar Adware, hoffe ich darf hier
trotzdem posten ^^

Seit ca. 2 Wochen bekomm ich in unregelmäßigen Abständen diese
Nachricht vom Bitdefender AV Guard:
C:\Dokumente und Einstellungen\Jana\Lokale
Einstellungen\Temp\oiqt2s5v.exe
Erkannt:
Adware.180Solutions.AS
siehe: http://img11.picsplace.to/img10/19/180solutions_1.gif

sowas aber auch

Die Datei lässt sich nicht entfernen, wenn man es versucht
kommt die Windows Fehlermeldung:
oiqt2s5v kann nicht gelöscht werden: Die Quelldatei oder
vom Quelldatenträger kann nicht gelesen werden

jaja, gut getarnt halt

In nachvollziehbaren Abständen (immer wenn Firefox nach einem
Reboot gestartet wird), diese Nachricht:
C:\Dokumente und Einstellungen\Jana\Lokale
Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles
Erkannt:
Adware.180Solutions.AS
siehe: http://img11.picsplace.to/img10/19/180solutions_2.gif

Nun krieg ich keine weiteren Informationen darüber. In den
Meldungen ist zwar ein Link aber der bringt keine
Informationen, sondern führt nur zur Virussuchmaschine von
BitDefender, und die findet nix unter 180.

tzzz

Über Google ist es auch schwer was relevantes/brauchbares zu
finden, da 180 Solutions an sich wohl eine Firma ist die
diverse Adware für Freeware erstellt oder sowas und ich nicht
weiß welche Adware speziell ich habe (hab auch keine neuen
aktive Prozesse laufen, siehe unten).

ja googlen muss man können *duck u weglauf

Das einzige was ich bisher gemerkt habe (nachdem ich darüber
im Internet las) war das im IE (den ich nicht nutze) ein neuer
Bookmarkordner mit Bookmarks zu diversen Seiten (Leisure,
Security etc.) erstellt wurde. Diese hab ich unbesucht
gelöscht und der ist auch nicht wieder aufgetaucht. Die
Startseite vom IE ist immernoch about:blank (über Google las
ich das die Startseite vom IE eigentlich auch geändert wird zu
irgend einer Suchmaschine).

In dem Zeitraum habe ich 1-3 Erweiterungen für den FF
installiert. Kann sowas über diese kommen?

jein

Die einzige die ich da in Verdacht hätte wäre:
„FoxGame“ http://foxgame.mozdev.org/index.en.html
Aber da es von so vielen genutzt wird
(http://www.owiki.de/FoxGame) und ich nichts finde was es
(oder irgendeine andere der kürzlich installierten
Erweiterungen) in Verbindung mit Spy- Adware bringt, bin ich
skeptisch.

Mein Netzwerk wurde schon vorher von mir deaktivert, ich öffne
keine Anhänge, bekam auch keine dubiosen Mails mit Bildern
oder Anhängen, hab nichts installiert was unsicher wäre (nur
schon vorhandene Programme wie SUPER aktualisiert).

Also mein Problem:
Wie finde ich raus WAS ich von 180 Solutions habe.

gar nicht. du überlässt das einem Experten: mir

Wie finde ich raus woher es kam (damit sich das nicht
wiederholt).
Und wie werde ich es los, obwohl das zweitrangig ist… könnte
nen Image drüber spielen… aber wenn’s anders
einfacher/schneller geht…

das ist schon etwas schwieriger

Autostart, Systemstart, Prozesse, Softwareliste wurden
ergebnislos überprüft.
Virusscan, Scan mit Spybot, Adaware, a-square hat nichts in
der Richtung ergeben (fanden nur paar langweilige
Trackingcookies).
Wiederherstellungspunkte wurden gelöscht und eine
Systembereinigung durchgeführt. Alle löschebaren Daten vom FF
wurden gelöscht (Temp, Cookies, History, Cache). Keine
Veränderung.
HijackThis zeigte auch keine mir unbekannten Prozesse, Addons
oder gar etwas bösartiges an.

Bin ratlos.
Irgend einen aktiven Prozess muss es doch geben damit diese
Meldung getriggert wird.

normalerweise schon

Wenn es was nützt:
Prozesse Windows Task Manager:
http://img11.picsplace.to/img10/19/prozesse2.gif
Prozesse Security Task Manager:
http://img11.picsplace.to/img10/19/prozesse1.gif

eigentlich weniger. aber das Log von hijackthis hätte mich interessiert.
bei diesem Bösewicht läuft normalerweise 180ax.exe im Hintergrund.
Kann aber auch einige der folgenden Dateien sein:
Msbb.exe
Boomerang.exe
180SAInstaller.dll
setup4156.exe
sac.exe
sau.exe
1802.dll
salmbundle.exe

Nichts wirklich böses, gehört zur Kategorie Internet Optimizer (aber eher Richtung optimieren=Dich mit Werbemüll zuknallen)
Was soll ich Dir sonst noch schönes schreiben? achso, erstellt manchmal den Ordner Fleok im Win-Verzeichnis
Ehe ich Dir jetzt lange Vorträge über „von der Platte pusten“ schreibe, schau mal, ob Du eins der Bösewichter ausfindig machen kannst. Wenn ja, schrei laut: Dann nehmen wir den grossen Putzeimer raus

MfG

ich liebe dich auch

Lilly

ExNicki

3

Hallo ExNicki

eigentlich weniger. aber das Log von hijackthis hätte mich
interessiert.

Dem kann geholfen werden. Ganz frisch:
http://www.hijackthis.de/logfiles/26ffe984c864cf8f94…
Oder wenn du die reine Textform bevorzugst: http://www.webfilehost.com/?mode=viewupload&id=1280218 (da musste aber paar Seks warten bevor du die TXT herunterladen kannst)

bei diesem Bösewicht läuft normalerweise 180ax.exe im
Hintergrund.
Kann aber auch einige der folgenden Dateien sein:
Msbb.exe
Boomerang.exe
180SAInstaller.dll
setup4156.exe
sac.exe
sau.exe
1802.dll
salmbundle.exe

Wär mir aufgefallen, die könnt ich ja nirgends zu ordnen.
Hab aber zusätzlich mal nach allen genannten Dateinamen das Lw C:\ durchsucht.
Nichts.

Nichts wirklich böses, gehört zur Kategorie Internet Optimizer

Hm, das letzte was ich in der Richtung heruntergeladen (und installiert) habe war der ‚ISDN Speed Manager‘ von T-Online. Das ist aber ca. 4-6 Monate her.

(aber eher Richtung optimieren=Dich mit Werbemüll zuknallen)
Was soll ich Dir sonst noch schönes schreiben? achso, erstellt
manchmal den Ordner Fleok im Win-Verzeichnis

Hm auch nichts.
Win Verzeichnis sieht so aus: http://img6.picsplace.to/img6/23/c_windows.gif

Rätselhalft oder? ^^

Grad mal Dienste durchstöbert.
Da is einer den ich nicht kenne… auch noch Beschreibung in Englisch während der meiste Rest Deutsch ist (aber nicht gestartet):

InstallDriver Table Manager
Provides support for the Running Object Table for InstallShield Drivers.

MfG
Lilly

4

Hallo ExNicki

Hello Lilly

Rätselhalft oder? ^^

ja, schönes Versteckspiel *Kopf kratz

Grad mal Dienste durchstöbert.
Da is einer den ich nicht kenne… auch noch Beschreibung in
Englisch während der meiste Rest Deutsch ist (aber nicht
gestartet):

InstallDriver Table Manager
Provides support for the Running Object Table for
InstallShield Drivers.

AFAIK stammt das vom Apfel: entweder I-Tunes oder Quick-Time oder sonen Zeugs. Im Prinzip harmlos. Stell ihn auf manuel.

Ok, ich ziehe mir mal den Log rein, in der Zwischenzeit könntest Du Dir AVG (vormals Ewido) runtersaugen und auf die Platte loslassen.
Die Jungs dort sind im allgemeinen recht ausgeschlafen: könnte unsere Zusammenarbeit drastisch verkürzen (Schade eigentlich^^)
http://www.ewido.net/de/download/

Ich klingele wieder bei Dir

*wink*
ExNicki

5

Hallo Lilly

O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.traffic-advance.net/2482-23.exe

2482-23.exe ist mit ziemlicher Sicherheit Bestandteil eines Trojaners,
dem sogenannten Trojan.Win32.Diamin.gen, auch Dial/DialCa-K genannt, meist zu finden auf italienischen Websites. Beschreibung u.a. hier:
http://research.sunbelt-software.com/
Hat zwar mit 180 Solutions wenig zu tun, aber wer weiss schon, was einem Trojaner so einfällt?

ich fürchte, Du musst dein Win glattbüglen

Gruss
ExNicki

1 „Gefällt mir“
6

Die Datei lässt sich nicht entfernen, wenn man es versucht
kommt die Windows Fehlermeldung:
oiqt2s5v kann nicht gelöscht werden: Die Quelldatei oder
vom Quelldatenträger kann nicht gelesen werden

Kannst du diese Datei (den kompletten Inhalt des Temp-Verzeichnisses) löschen, wenn du als Administrator angemeldet bist?

Ich würde im konkreten Fall zunächst auf die Meldungen des Bitdefenders nicht viel geben. Ob aber die Prozesse in http://img11.picsplace.to/img10/19/prozesse2.gif sämtlich legitim sind, kannst nur du wissen. Hast du Programme installiert, die diese Dienste starten? Unmittelbar verdächtiges finde ich nicht, auch mittelbar schätze ich dein System - aus der Distanz - zunächst für nicht infiziert ein.

Um sicher zu gehen, könntest du nach http://www.heise.de/security/artikel/80369 vorgehen. Ich denke aber, dass der BitDefender hier heisser gekocht hat, als es seinem eigenen Gaumen zuträglich ist.

Gruss
Schorsch

7

ich fürchte, Du musst dein Win glattbüglen

Deine Bewertung kann ich in keiner Weise nachvollziehen.

Gruss
Schorsch

8

Deine Bewertung kann ich in keiner Weise nachvollziehen.

Dann erzähl mal

Gruss
ExNicki

9

Dann erzähl mal

ich fürchte, Du musst dein Win glattbüglen

Einer von uns beiden hat eine Behauptung ziemlich aus der Luft gegriffen.

Ich war’s nicht
Schorsch

10

Hi

War das aus mein Log?
Find den Eintrag gar nicht -.-
Die http Adresse da sagt mir auch gar nichts.
Wenn ich das habe, dann ist es was mir unbekanntes (und damit wohl auch ungewollt).

Wofür steht DPF?

Bei mir steht bei O16:

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Contr…

Guck ich falsch? Hab auch per Suche gesucht im Log.
Und auch ALLE Partitionen nach der EXE (und das dauert -.-) aber keine Funde.

Gib mit kein aktiven Trojaner, das wäre ja der ‚worst case‘ ;_;
Da krieg ich gleich n Herzanfall wenn ich an die Arbeit denke wenn meine Images vielleicht auch bestroffen sind (älteste is von März 2006, vielleicht hätt ich noch Glück ^^).

Hab mal diesen anderen Scanner heruntergeladen (obwohl ich nicht gerne mir unbekannte Sicherheitssoftware die Freeware ist herunterlade).

2 böse Funde, Rest wieder diese Trackingcookies.
Bei den Funden bin ich mir nicht sicher ob es nicht vielleicht Fehlalarme sind.

Fund 1 http://img6.picsplace.to/img6/23/fund1.gif
Das GTK (http://de.wikipedia.org/wiki/GIMP-Toolkit) was da an der Prangermauer steht hab ich damals (auch schon Monate her) heruntergeladen und installiert weil es für die Software GIMP von nöten war.
Hoffe es war nicht verseucht. Bin dem Link von der CHIP Webseite gefolgt auf deren GIMP Downloadseite.

Fund 2 http://img6.picsplace.to/img6/23/fund2.gif
Tja, kann ich nichts zu sagen. Mit (scheinbar) Windows eigene Dateien hab ich mich nie beschäftigen müssen.
Hat das noch jemand?
Inhalt vom Ordner: http://img6.picsplace.to/img6/23/drivers.gif
Der Virenscanner hat da nie was bemängelt, weder der neue noch der alte (alte was AVK von G-Data, davor hatte ich NIS 2002).

Wie kann ich vertifizieren ob es echt ist oder nicht?

@Schorsch
Bis auf die vielen svhosts Dingens kann ich die Prozesse ausm TaskManager zuordnen und hab ich auch alles installiert was nicht von von Haus aus drin war. Das meiste ist vom ATi GraKa Treiber und vom Virenscanner.

MfG
Lilly

PS: Als Abschied nochmal der Log hierreingespammt (was ich euch erst ja nucht antun wollte)

Logfile of HijackThis v1.99.1
Scan saved at 18:39:01, on 29.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Programme\FolderSize\FolderSizeSvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
E:\Z-Cron\z-cron.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
E:\typograf\ttfman.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
E:\BITDEF~1\bdmcon.exe
E:\bitdef~1\bdnagent.exe
E:\bitdef~1\bdswitch.exe
E:\DAEMON Tools\daemon.exe
E:\BitDefender9\vsserv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
e:\Logitech\MouseWare\system\em_exec.exe
E:\ScanSoft\PaperPort\pptd40nt.exe
E:\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
E:\Mozilla Firefox (PC Welt Ed)\firefox.exe
i:\GUILD WARS\Gw.exe
E:\HijackThis 1.99.1\HijackThis.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - e:\Free Download Manager\iefdmcks.dll
O4 - HKLM…\Run: [CHotkey] mHotkey.exe
O4 - HKLM…\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM…\Run: [IMJPMIG8.1] „C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE“ /Spoil /RemAdvDef /Migration32
O4 - HKLM…\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM…\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM…\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM…\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM…\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM…\Run: [TTFMan] e:\typograf\ttfman.exe
O4 - HKLM…\Run: [SmcService] E:\Sygate\SPF\smc.exe -startgui
O4 - HKLM…\Run: [CloneCDTray] „e:\CloneCD\CloneCDTray.exe“ /s
O4 - HKLM…\Run: [WinDVR SchSvr] „C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe“
O4 - HKLM…\Run: [Babylon Client] e:\Babylon\Babylon.exe -AutoStart
O4 - HKLM…\Run: [Adobe Photo Downloader] „E:\Adobe\Photoshop Elements 4.0\apdproxy.exe“
O4 - HKLM…\Run: [BDMCon] e:\BITDEF~1\bdmcon.exe
O4 - HKLM…\Run: [BDNewsAgent] „E:\BITDEF~1\bdnagent.exe“
O4 - HKLM…\Run: [BDSwitchAgent] „E:\BITDEF~1\bdswitch.exe“
O4 - HKLM…\Run: [ISDN SpeedManager] „C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe“
O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM…\Run: [DAEMON Tools] „e:\DAEMON Tools\daemon.exe“ -lang 1033
O4 - HKLM…\Run: [ATICCC] „C:\Programme\ATI Technologies\ATI.ACE\cli.exe“ runtime -Delay
O4 - HKLM…\Run: [SSBkgdUpdate] „C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe“ -Embedding -boot
O4 - HKLM…\Run: [PaperPort PTD] „E:\ScanSoft\PaperPort\pptd40nt.exe“
O4 - HKLM…\Run: [IndexSearch] „E:\ScanSoft\PaperPort\IndexSearch.exe“
O4 - HKLM…\Run: [PPort11reminder] „E:\ScanSoft\PaperPort\Ereg\ereg.exe“ -r „C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\ereg.ini“
O4 - HKCU…\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU…\Run: [PPScheduler] E:\ScanSoft\PaperPort\PPScheduler.exe
O4 - Startup: InterVideo WinCinema Manager.lnk = E:\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Namo SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Namo SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra ‚Tools‘ menuitem: Namo SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra ‚Tools‘ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra ‚Tools‘ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: PicGrab - {73DA6DE1-E476-4F52-8313-A0780AC346B8} - E:\PicGrab\iestarter.exe (HKCU)
O9 - Extra button: (no name) - {B803A707-740F-4038-891C-E6F7ADAAABB3} - E:\PicGrab\iestarter.exe (HKCU)
O9 - Extra ‚Tools‘ menuitem: &amp:stuck_out_tongue_winking_eye:icGrab starten - {B803A707-740F-4038-891C-E6F7ADAAABB3} - E:\PicGrab\iestarter.exe (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Contr…
O17 - HKLM\System\CCS\Services\Tcpip…{B6AAB4E2-E83D-4D6D-8ECB-D49278699DA2}: NameServer = 62.104.191.241 62.104.196.134
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - E:\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - E:\Sygate\SPF\smc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - E:\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
O23 - Service: Z-Cron - A.Baumann IMU-BerliNet - E:\Z-Cron\z-cron.exe

Wenn ich drüber gucke is da eigentlich auch nichts was ich nicht kenne und ich weiß woher es kommt und wozu es ist (ob es wirklich da sein muss weiß ich nicht, auch egal:wink:.

11

Hi

Die Datei lässt sich nicht entfernen, wenn man es versucht
kommt die Windows Fehlermeldung:
oiqt2s5v kann nicht gelöscht werden: Die Quelldatei oder
vom Quelldatenträger kann nicht gelesen werden

Kannst du diese Datei (den kompletten Inhalt des
Temp-Verzeichnisses) löschen, wenn du als Administrator
angemeldet bist?

Bin immer als Admin angemeldet.
Ist einfach zu userunfrenudlich im beschränkten Konto. Mal probiert aber bald aufgegeben weils umgelogge so genervt hat weil wieder was mit eingeschränkten Rechten nicht funktionierte (wie Prozesse killen).

Aber zur Frage.
Hatte erst versucht die Datei umzubenennen. Ging nicht (gleiche Fehlermeldung).
Dann versucht den Temp Ordner umzubenennen, ging nicht:
Temp kann nicht umbenannt werden: Zugriff verweigert.
Stellen sie sicher das der Datenträger weder voll noch schreibgeschützt ist und die Datei gerade nicht verwendet wird.

Wird vielleicht vom Virenproggie geblockt und daher sowas wie verwendet?

Wenn ich den Temp Ordner löschen will, kommt dieser Löschfortschrittbalken (Verschiebeforgang in den Papierkorb) und dann aber ne Fehlermledung wie zuerst (blabla.exe kann nicht gelöscht werden)

Um sicher zu gehen, könntest du nach
http://www.heise.de/security/artikel/80369 vorgehen. Ich denke
aber, dass der BitDefender hier heisser gekocht hat, als es
seinem eigenen Gaumen zuträglich ist.

Ja hatte schonmal so ein Problem mit dem. Hat was für böse gehalten und blockiert (konnte nen Programm deswegen nicht verwenden) was i.O. war.
Hab mich an den Service gewendet. Die waren ganz nett und schnell. Musste Dateien zu denen schicken und die haben se überprüft. Eine haben se zu ihrer Whitelist hinzugefügt (mit dem nächsten Update war die Meldung weg) und die andere aber nicht weil’s n Motherboardmonitor war der ihrer Meinung auch auf Schadsoftware hinweisen kann (auch wenn meine Datei sauber ist und die Überwachung gewünscht ist).

Aber die Datei im TEMP mit dem komischen Namen die sich auch nicht löschen lässt macht sich genau deswegen verdächtig :confused:

Dinge wie Popups, Webseitenhijacks, Warnungen, gefakte Sicherheits-Fehlermeldungen oder sowas was auf Adware hinweist, hab ich auch nicht. Auch kann ich sämtliche Systemtools (Taskmanager, MSconfig, registry) normal aufrufen und Einstellungen im Explorer wurden auch nicht geändert.
Halt nur die komischen Bookrmarks im IE.
100% dem Ereignis kann ich sie aber auch nicht zuweisen da ich den IE ja nicht nutze und die Bookmarks da eh uralt sind. Aber die gehörten jedenfalls nicht zu mir (waren auch alle Englisch) und wurde von irgendeinem Programm hinzugefügt.

MfG
Lilly

12

2 böse Funde, Rest wieder diese Trackingcookies.
Bei den Funden bin ich mir nicht sicher ob es nicht vielleicht
Fehlalarme sind.

Wirklich interessant ist die

Fund 2 http://img6.picsplace.to/img6/23/fund2.gif

hosts.bak. Hoffentlich hast du diese nicht gelöscht. Die würd ich mir gerne mal, per Mail zugesandt, näher anschauen.

Gruss
Schorsch

13

Bin immer als Admin angemeldet.
Ist einfach zu userunfrenudlich im beschränkten Konto. Mal
probiert aber bald aufgegeben weils umgelogge so genervt hat
weil wieder was mit eingeschränkten Rechten nicht
funktionierte (wie Prozesse killen).

Aber du kannst ein neues Konto mit administrativen Rechten anlegen und von diesem aus versuchen, die Datei zu löschen.

Gruss
Schorsch

14

Hi Lilly

War das aus mein Log?
Find den Eintrag gar nicht -.-
Die http Adresse da sagt mir auch gar nichts.
Wenn ich das habe, dann ist es was mir unbekanntes (und damit
wohl auch ungewollt).

ja das war aus Deinem Log, den mit dem Link. ABer der Textlog weist das nicht auf *nur noch Bahnhof versteh* Also Fehlalarm. Tschuldigung.

Wofür steht DPF?

Downloaded Program Files also Active X elemente

Bei mir steht bei O16:

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C}
(WUWebControl Class) -
http://update.microsoft.com/windowsupdate/v6/V5Contr…

Guck ich falsch? Hab auch per Suche gesucht im Log.
Und auch ALLE Partitionen nach der EXE (und das dauert -.-)
aber keine Funde.

Gib mit kein aktiven Trojaner, das wäre ja der ‚worst case‘

Sorry, Lilly *Asche auf meinen Schädel verteil

Da krieg ich gleich n Herzanfall wenn ich an die Arbeit denke
wenn meine Images vielleicht auch bestroffen sind (älteste is
von März 2006, vielleicht hätt ich noch Glück ^^).

Hab mal diesen anderen Scanner heruntergeladen (obwohl ich
nicht gerne mir unbekannte Sicherheitssoftware die Freeware
ist herunterlade).

2 böse Funde, Rest wieder diese Trackingcookies.
Bei den Funden bin ich mir nicht sicher ob es nicht vielleicht
Fehlalarme sind.

Fund 1 http://img6.picsplace.to/img6/23/fund1.gif
Das GTK (http://de.wikipedia.org/wiki/GIMP-Toolkit) was da an
der Prangermauer steht hab ich damals (auch schon Monate her)
heruntergeladen und installiert weil es für die Software GIMP
von nöten war.
Hoffe es war nicht verseucht. Bin dem Link von der CHIP
Webseite gefolgt auf deren GIMP Downloadseite.

Fund 2 http://img6.picsplace.to/img6/23/fund2.gif
Tja, kann ich nichts zu sagen. Mit (scheinbar) Windows eigene
Dateien hab ich mich nie beschäftigen müssen.
Hat das noch jemand?
Inhalt vom Ordner:
http://img6.picsplace.to/img6/23/drivers.gif
Der Virenscanner hat da nie was bemängelt, weder der neue noch
der alte (alte was AVK von G-Data, davor hatte ich NIS 2002).

Wie kann ich vertifizieren ob es echt ist oder nicht?

du kannst einzelne Dateien bei verschiedenen Webseiten hochladen und checken lassen zB bei
http://www.kaspersky.com/de/scanforvirus oder
http://virusscan.jotti.org/de/

Grüsse
ExNicki

PS: Als Abschied nochmal der Log hierreingespammt (was ich
euch erst ja nucht antun wollte)

also überprüfen mir nochmal :smile:

Logfile of HijackThis v1.99.1
Scan saved at 18:39:01, on 29.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Programme\FolderSize\FolderSizeSvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender
Communicator\xcommsvr.exe
E:\Z-Cron\z-cron.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan
Server\bdss.exe
E:\typograf\ttfman.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update
Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
E:\BITDEF~1\bdmcon.exe
E:\bitdef~1\bdnagent.exe
E:\bitdef~1\bdswitch.exe
E:\DAEMON Tools\daemon.exe
E:\BitDefender9\vsserv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
e:\Logitech\MouseWare\system\em_exec.exe
E:\ScanSoft\PaperPort\pptd40nt.exe
E:\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
E:\Mozilla Firefox (PC Welt Ed)\firefox.exe
i:\GUILD WARS\Gw.exe
E:\HijackThis 1.99.1\HijackThis.exe

O2 - BHO: SSVHelper Class -
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
E:\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class -
{CC59E0F9-7E43-44FA-9FAA-8377850BF205} - e:\Free Download
Manager\iefdmcks.dll
O4 - HKLM…\Run: [CHotkey] mHotkey.exe
O4 - HKLM…\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM…\Run: [IMJPMIG8.1]
„C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE“ /Spoil /RemAdvDef
/Migration32
O4 - HKLM…\Run: [IMEKRMIG6.1]
C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM…\Run: [MSPY2002]
C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM…\Run: [PHIME2002ASync]
C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM…\Run: [PHIME2002A]
C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM…\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM…\Run: [TTFMan] e:\typograf\ttfman.exe
O4 - HKLM…\Run: [SmcService] E:\Sygate\SPF\smc.exe -startgui
O4 - HKLM…\Run: [CloneCDTray] „e:\CloneCD\CloneCDTray.exe“
/s
O4 - HKLM…\Run: [WinDVR SchSvr] „C:\Programme\Gemeinsame
Dateien\InterVideo\SchSvr\SchSvr.exe“
O4 - HKLM…\Run: [Babylon Client] e:\Babylon\Babylon.exe
-AutoStart
O4 - HKLM…\Run: [Adobe Photo Downloader] „E:\Adobe\Photoshop
Elements 4.0\apdproxy.exe“
O4 - HKLM…\Run: [BDMCon] e:\BITDEF~1\bdmcon.exe
O4 - HKLM…\Run: [BDNewsAgent] „E:\BITDEF~1\bdnagent.exe“
O4 - HKLM…\Run: [BDSwitchAgent] „E:\BITDEF~1\bdswitch.exe“
O4 - HKLM…\Run: [ISDN SpeedManager]
„C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe“
O4 - HKLM…\Run: [KernelFaultCheck]
%systemroot%\system32\dumprep 0 -k
O4 - HKLM…\Run: [DAEMON Tools] „e:\DAEMON Tools\daemon.exe“
-lang 1033
O4 - HKLM…\Run: [ATICCC] „C:\Programme\ATI
Technologies\ATI.ACE\cli.exe“ runtime -Delay
O4 - HKLM…\Run: [SSBkgdUpdate] „C:\Programme\Gemeinsame
Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe“
-Embedding -boot
O4 - HKLM…\Run: [PaperPort PTD]
„E:\ScanSoft\PaperPort\pptd40nt.exe“
O4 - HKLM…\Run: [IndexSearch]
„E:\ScanSoft\PaperPort\IndexSearch.exe“
O4 - HKLM…\Run: [PPort11reminder]
„E:\ScanSoft\PaperPort\Ereg\ereg.exe“ -r „C:\Dokumente und
Einstellungen\All
Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\ereg.ini“
O4 - HKCU…\Run: [STYLEXP]
C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU…\Run: [PPScheduler]
E:\ScanSoft\PaperPort\PPScheduler.exe
O4 - Startup: InterVideo WinCinema Manager.lnk =
E:\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk =
E:\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Namo SWF Catcher -
C:\Programme\Gemeinsame Dateien\SourceTec\SWF
Catcher\InternetExplorer.htm
O9 - Extra button: Namo SWF Catcher -
{E19ADC6E-3909-43E4-9A89-B7B676377EE3} -
C:\Programme\Gemeinsame Dateien\SourceTec\SWF
Catcher\InternetExplorer.htm
O9 - Extra ‚Tools‘ menuitem: Namo SWF Catcher -
{E19ADC6E-3909-43E4-9A89-B7B676377EE3} -
C:\Programme\Gemeinsame Dateien\SourceTec\SWF
Catcher\InternetExplorer.htm
O9 - Extra button: (no name) -
{e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network
Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra ‚Tools‘ menuitem: @xpsp3res.dll,-20001 -
{e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network
Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Programme\Messenger\msmsgs.exe
O9 - Extra ‚Tools‘ menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: PicGrab -
{73DA6DE1-E476-4F52-8313-A0780AC346B8} -
E:\PicGrab\iestarter.exe (HKCU)
O9 - Extra button: (no name) -
{B803A707-740F-4038-891C-E6F7ADAAABB3} -
E:\PicGrab\iestarter.exe (HKCU)
O9 - Extra ‚Tools‘ menuitem: &amp:stuck_out_tongue_winking_eye:icGrab starten -
{B803A707-740F-4038-891C-E6F7ADAAABB3} -
E:\PicGrab\iestarter.exe (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C}
(WUWebControl Class) -
http://update.microsoft.com/windowsupdate/v6/V5Contr…
O17 -
HKLM\System\CCS\Services\Tcpip…{B6AAB4E2-E83D-4D6D-8ECB-D49278699DA2}:
NameServer = 62.104.191.241 62.104.196.134
O20 - Winlogon Notify: WgaLogon -
C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems -
C:\Programme\Gemeinsame Dateien\Adobe Systems
Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V4
(AdobeActiveFileMonitor4.0) - Unknown owner -
E:\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -
C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner -
C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner

  • C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan
    Server\bdss.exe" /service (file missing)
    O23 - Service: Folder Size (FolderSize) - Brio -
    C:\Programme\FolderSize\FolderSizeSvc.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) -
    Macrovision Corporation - C:\Programme\Gemeinsame
    Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: BitDefender Desktop Update Service (LIVESRV) -
    Unknown owner - C:\Programme\Gemeinsame
    Dateien\Softwin\BitDefender Update Service\livesrv.exe"
    /service (file missing)
    O23 - Service: Macromedia Licensing Service - Unknown owner -
    C:\Programme\Gemeinsame Dateien\Macromedia
    Shared\Service\Macromedia Licensing.exe
    O23 - Service: O&O Defrag - O&O Software GmbH -
    C:\WINDOWS\System32\oodag.exe
    O23 - Service: Sygate Personal Firewall Pro (SmcService) -
    Sygate Technologies, Inc. - E:\Sygate\SPF\smc.exe
    O23 - Service: StyleXPService - Unknown owner -
    C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
    O23 - Service: TuneUp WinStyler Theme Service
    (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\TuneUp
    Utilities 2006\WinStylerThemeSvc.exe
    O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown
    owner - E:\BitDefender9\vsserv.exe" /service (file missing)
    O23 - Service: BitDefender Communicator (XCOMM) - Unknown
    owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender
    Communicator\xcommsvr.exe" /service (file missing)
    O23 - Service: Z-Cron - A.Baumann IMU-BerliNet -
    E:\Z-Cron\z-cron.exe

Wenn ich drüber gucke is da eigentlich auch nichts was ich
nicht kenne und ich weiß woher es kommt und wozu es ist (ob es
wirklich da sein muss weiß ich nicht, auch egal:wink:.

1 „Gefällt mir“
15

Mann Schorsch, ich versuch verzweifelt der Lady zu helfen, und Du kriegst die Zähne nicht auseinander.
Sag mir schon meinen Denkfehler

Gruss
ExNicki

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

16

Hallo Lillian

[ironie]
Bist du neu hier im Forum oder ist dir nur der Trend der letzten Monate entgangen?
[/loriot]

Dem kann geholfen werden. Ganz frisch:
http://www.hijackthis.de/logfiles/26ffe984c864cf8f94…

Ich hab mir deine Auswertung auch angesehen und bestätige dir: NOD32 und was du da alles noch drauf hast, hat restlos versagt. Trenne dich von dem Müll für immer. Ich habe allen Ernstes schon beim ersten Hinsehen einen Verweis auf eine fehlende DLL gefunden.

[unken]
Ei, ei, wo ist sie denn, die kleine? Sie wurde zumindest 1x ausgeführt und hatte Verbindung zum Internet und wollte immer dann auch eine Verbindung, wenn du wolltest! Ist sie Gelöscht? Von wem gelöscht? Ist sie gar von selbst verschwunden, weil sie in deinem Schrankregal ein paar gefährlich beschriftete Schachteln entdeckt hat oder hat sie vielleicht aufgegeben, weil sie mit der stark eingeschränkten Geschwindigkeit deines Systems nicht zurecht kam?
[/unken]

Falls dies wirklich von einem Scanner oder Removertool geschehen sein sollte (was ich ernsthaft bezweifele), hat dieses Ding sehr unsauber gearbeitet. Und jetzt suchst du allen Ernstes die Malware. Nach was suchst du eigentlich? Ich wüsste nicht, nach was ich suchen sollte und würde es auch nicht tun. Was verlangst du jetzt von einer Software? Ich könnte dir auch einen Trick verraten, wie man den Cache des Browsers löscht, das hat aber eh keinen Sinn.

Und was ist das: C:\WINDOWS\system32\cachechk.exe? Zu was wird in einem XP noch ein selbst unter DOS sehr zweifelhaftes Tool benötigt (hat mir Google verraten)? Oder handelt es sich nur um einen laufenden Prozess, dessen ausführbare Datei zufällig diesen Namen trägt?

Die Auswertung deiner Registry sagt eindeutig:
Das System ist nur noch mit einem karibischen Friedhof vergleichbar. Mach den Viren-Zoo restlos platt. Nicht nur eine neue Installation drüber bügeln, lösche die Partitionen und lege sie neu an. Auch eine Systemwiederherstellung hat keinen Zweck, denn darin befindet sich vermutlich der ursprüngliche Trojaner und das Ringelspiel beginnt von vorn. Eine Anleitung findest du in dieser FAQ: http://faq.jors.net/virus.html

Noch ne Frage zum Schluß:
Zu was wird überhaupt der IÄ7 benötigt? Selbst M$ verschickt Gratis ein Tool zur Blockierung von Download und Installation http://www.microsoft.com/downloads/details.aspx?Fami… Warum machen die das denn blos?

der hinterwäldler


Ich kann die Argumentation einiger User nicht verstehen.
Ca. 1,5 Mio kostenlosen Vollversionen, welche zum Erstellen
eines Partitionsbackup brauchbar waren, sind in deutschen
Restmülltonnen verschwunden. Selbst in dieser Minute lässt
sich mit ein klein wenig Intelligenz ein vernünftiges
Backupsystem aus dem Internet herunterladen und herstellen.
Statt dessen werden Scanner, PFWs und Removertools „En gros“
verwendet.

17

Mann Schorsch, ich versuch verzweifelt der Lady zu helfen, und
Du kriegst die Zähne nicht auseinander.
Sag mir schon meinen Denkfehler

Den hast du doch ausweislich deiner Antwort weiter unten an Lillian bereits erkannt.

Gruss
Schorsch

18

Hi Hinterwälder

[ironie]
Bist du neu hier im Forum oder ist dir nur der Trend der
letzten Monate entgangen?
[/loriot]

In diesem Brett bin ich sonst nicht.
Fühl mich nicht angesprochen.

Dem kann geholfen werden. Ganz frisch:
http://www.hijackthis.de/logfiles/26ffe984c864cf8f94…

Ich hab mir deine Auswertung auch angesehen und bestätige dir:
NOD32 und was du da alles noch drauf hast,

Nein hab ich nicht.
Hatte ich auch nie.
Hab BitDefender Antivirenscanner 9 Pro.
Ist auch der einzigste Virenscanner auf meinem System.

Falls dies wirklich von einem Scanner oder Removertool
geschehen sein sollte (was ich ernsthaft bezweifele), hat
dieses Ding sehr unsauber gearbeitet.

Hab noch gar nichts entfernt. Ging ja nicht XD
War ja das Problem.

Und jetzt suchst du
allen Ernstes die Malware. Nach was suchst du eigentlich?

Den Grund warum die Meldungen von BitDefender getriggert werden.
Das Programm hab ich ja schon seit nem halben Jahr, aber die Meldungen kamen urplötzlich erst vor kurzem.

Den Grund warum ich die Datei ncht löschen kann.
Kenn ja Fehlermeldungen wie ‚xyz kann nicht gelöscht werden weil grad drauf zugegriffen wird‘ (auch wenn es nicht stimmt)… aber die ist mir neu.

Ich
wüsste nicht, nach was ich suchen sollte und würde es auch
nicht tun. Was verlangst du jetzt von einer Software?

Hab hier gepostet weil ich hilfreiche Software schon aufgegeben hab :wink:
Oder bist du nur ein Bot? Und alle anderen auch?

Ich
könnte dir auch einen Trick verraten, wie man den Cache des
Browsers löscht,

Extras > Einstellungen > Datenschutz > Cache > Cache löschen?

Und was ist das: C:\WINDOWS\system32\cachechk.exe?

Die hab ich auch nicht.
Muss ich die haben?

Die Auswertung deiner Registry sagt eindeutig:

Du kommst von dort an meine Reg?

Das System ist nur noch mit einem karibischen Friedhof
vergleichbar.

Aloha

Mach den Viren-Zoo restlos platt.

Ah, jetzt sind wir schon bei Viren.
Welchen hab ich denn?

Auch eine Systemwiederherstellung hat keinen
Zweck,

Naja, nachdem ich sicherheitshalber die Wiederherstellungspunkte löschte, wohl eh nicht :wink:

Noch ne Frage zum Schluß:
Zu was wird überhaupt der IÄ7 benötigt?

Weiß ich nicht. Brauch ich nicht. Hab ich auch nicht.
Das steht ja gleich als erstes beim HjT Log:

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Selbst M$ verschickt
Gratis ein Tool zur Blockierung von Download und Installation
http://www.microsoft.com/downloads/details.aspx?Fami…

Jo, musste ich im Büro vor 2 Wochen auf die Rechner da installieren. Weil gewisse Onlinebuchungssoftware (Merlin) nicht mit dem IE7 funktioniert, der ja sonst wohl mit dem AutoUpdate von Win heruntergeladen wird.
(Außer diese Software wird sonst natürlich nur FF genutzt)

Denke das ist auch der Grund warum MS so ein Tool anbietet.
Der Unterschied IE6 / IE7 wird wohl groß genug sein das es zu Kpmatibilitätsproblemen kommen kann.

Also entweder haste schon sehr früh am Morgen einen gezwitschert… oder einen anderen Log als meinigen gesehen. :wink:

MfG
Lilly

19

Mann Schorsch, ich versuch verzweifelt der Lady zu helfen, und
Du kriegst die Zähne nicht auseinander.
Sag mir schon meinen Denkfehler

Den hast du doch ausweislich deiner Antwort weiter unten an
Lillian bereits erkannt.

Achso, ja. seltsam. Aber nächtes Mal mir bitte einen vor den Latz hauen gleich mit Erklärung
Bin manchmal etwas vorschnell: Vorrecht der Jugend :frowning:

Gruss
ExNicki

20

Hallo

hosts.bak. Hoffentlich hast du diese nicht gelöscht. Die würd
ich mir gerne mal, per Mail zugesandt, näher anschauen.

Auf Verdacht lösch ich keine Dateien die für das System wichtig sein könnten (bei unwichtigen Dateien bin ich da aber nicht pingelig).

Mail ist mit Anhang unterwegs.

MfG
Lilly