#1 18. Januar 2009 Verdacht auf Viren/Trojaner Hallo ihr helfenden, Hab mir gestern beim Surfen auf einer "Download Seite" was eingefangen. Es geschah nicht durch ausfüren einer verseuchten ".exe" datei, sonern beim besuchen der seite. Wurde wohl ein script ausgefürt, oder was weiss ich. ?( Das sind meine Probleme: - Ich kann den Bildschirmhintergrund nicht mehr ändern Spoiler {bild-down: http://www.bildhoster.org/out.php/i16908_01.JPG} - Fast immer wenn ich einen Ordner öffnen, öffnet sich eine Firefox Fenster Spoiler {bild-down: http://www.bildhoster.org/out.php/i16909_02.JPG} Der Link des Werbefensters: Code: http://lsp-test-nax.ind.in/land/eurl/1.html?code=49 - Wenn ich Panda Antivirus Ausführe, also einen Scan straten will, erfolgen folgende Fehlermeldungen: Spoiler {bild-down: http://www.bildhoster.org/out.php/i16910_03.JPG} und {bild-down: http://www.bildhoster.org/out.php/i16911_04.JPG} Die zweite Meldung wird etwa 8 mal geöffnet, unten in der Taskleiste. Bei Search & Destroy wurden diese Fehler auch angezeigt, deshalb habe ich den deinstalliert. Konnte ihn gar nicht ausführen. - Sft Loader gibt einen Fehler aus. Und zwar bei jeder Version (RC1, RC2, RC3). Spoiler {bild-down: http://www.bildhoster.org/out.php/i16912_05.JPG} Hier ist noch das Hijackthis Logfile Spoiler Code: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:28:43, on 18.01.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.20583) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Panda Global Protection 2009\TPSrv.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\Programme\Panda Global Protection 2009\PsCtrls.exe C:\Programme\Panda Global Protection 2009\PavFnSvr.exe C:\Programme\Gemeinsame Dateien\Panda Security\PavShld\pavprsrv.exe C:\WINDOWS\system32\IoctlSvc.exe C:\Programme\Panda Global Protection 2009\PsImSvc.exe C:\Programme\Panda Global Protection 2009\PskSvc.exe C:\Programme\Cyberlink\Shared Files\RichVideo.exe C:\Programme\Panda Global Protection 2009\pavsrv51.exe C:\Programme\Panda Global Protection 2009\AVENGINE.EXE c:\programme\panda global protection 2009\firewall\PSHOST.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Panda Global Protection 2009\APVXDWIN.EXE C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Microsoft ActiveSync\Wcescomm.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\Panda Global Protection 2009\WebProxy.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Panda Global Protection 2009\SRVLOAD.EXE C:\Programme\Panda Global Protection 2009\PavBckPT.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\Panda Global Protection 2009\IFACE.EXE C:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Global Protection 2009\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Global Protection 2009\Inicio.exe" O4 - HKLM\..\RunOnce: [Panda_cleaner] C:\Programme\Panda Global Protection 2009\pskdr.exe "C:\Programme\Panda Global Protection 2009\a60553f318a2ef4d6d9d483b7a1197depskdr.act" O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O8 - Extra context menu item: &Alles mit BitComet downloaden - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Alle &Videos mit BitComet &d&ownloaden - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: Mit BitComet &downloaden - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Panda Software Controller - Panda Security, S.L. - C:\Programme\Panda Global Protection 2009\PsCtrls.exe O23 - Service: Panda Function Service (PAVFNSVR) - Panda Security, S.L. - C:\Programme\Panda Global Protection 2009\PavFnSvr.exe O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Security, S.L. - C:\Programme\Gemeinsame Dateien\Panda Security\PavShld\pavprsrv.exe O23 - Service: Panda On-Access Anti-Malware Service (PAVSRV) - Panda Security, S.L. - C:\Programme\Panda Global Protection 2009\pavsrv51.exe O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\programme\panda global protection 2009\firewall\PSHOST.EXE O23 - Service: Panda IManager Service (PSIMSVC) - Panda Security S.L. - C:\Programme\Panda Global Protection 2009\PsImSvc.exe O23 - Service: Panda PSK service (PskSvcRetail) - Panda Security, S.L. - C:\Programme\Panda Global Protection 2009\PskSvc.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared Files\RichVideo.exe O23 - Service: Panda TPSrv (TPSrv) - Panda Security, S.L. - C:\Programme\Panda Global Protection 2009\TPSrv.exe -- End of file - 8994 bytes Das ist alles was mir bis jetzt aufgefallen ist... Mein System (falls das Hilft) - Microsoft Windows XP Pro inkl Service Pack 2 - Amd Athlon 64 X2 Dual Core 5200+ - 4GB Ram Ich danke euch für hilfe, falls es noch welche gibt :motz: + Multi-Zitat Zitieren
#2 18. Januar 2009 AW: Hab mir was eingefangen... Lad dir erstmal HijackThis und zwar hier danach postest du den Log hier im Thread oder wertest ihn selber hier aus... Dann einfach alle Einträge fixxen die dir als "Gefährlich" angezeigt werden und/oder die du net kennst. So danach lade dir noch SpyBot Seach and Destroy das dann installieren und dann mal im "Abgesicherten Modus" booten und SpyBot suchen lassen Wenn das net hilft melde dich wieder + Multi-Zitat Zitieren
#3 18. Januar 2009 AW: Hab mir was eingefangen... lösch mal alle cookies und alle internet verläufe + Multi-Zitat Zitieren
#5 18. Januar 2009 AW: Hab mir was eingefangen... Fix die Einträge mal mit hijackthis Code: [?] - C:\Programme\Panda Global Protection 2009\PskSvc.exe [?] - C:\Programme\Panda Global Protection 2009\PavBckPT.exe [?] - C:\Programme\Panda Global Protection 2009\IFACE.EXE [?] - O4 - HKLM\..\RunOnce: [Panda_cleaner] C:\Programme\Panda Global Protection 2009\pskdr.exe "C:\Programme\Panda Global Protection 2009\a60553f318a2ef4d6d9d483b7a1197depskdr.act" [?] - O23 - Service: Panda PSK service (PskSvcRetail) - Panda Security, S.L. - C:\Programme\Panda Global Protection 2009\PskSvc.exe Sieht nach dem Teil aus. + Multi-Zitat Zitieren
#6 18. Januar 2009 AW: Hab mir was eingefangen... das ist doch das antiviren programm . sollte nicht gefixt werden. + Multi-Zitat Zitieren
#7 20. Januar 2009 AW: Verdacht auf Viren/Trojaner Hatte des auch mal... immer sone anti viren software . Hab dann nach "nervendes *name des anti viren scheißteils*entfernen" gegoogelt und auch sofort etwas gefunden. War son tool was man im abgesicherten modus startet und das dann 6 punkte abarbeitet. Zack es lief wieder alles. Wenn du also auf ein ähnliches tool treffen solltest --> Benutzen. Das problem hier ist das man den namen des angebotenem anti viren programms nicht sehen kann. Ich schau mich mal nen bisl um. Wär gut wenn du iwie den namen den programms rausfinden könntest. MfG DannO + Multi-Zitat Zitieren
#8 20. Januar 2009 AW: Verdacht auf Viren/Trojaner also ich würd panda mal kompletett entfernen also panda wäre so wie das jetz aussieht mit seinem zig prozessen eh das letzte auf meiner to install liste denke auch mal das es diese sachen sind fix die aufjedenfall mal und lösch auch mal alle cookies samt cache ausserdem solltest vllt auch mal einige autostart programe killen zb google updater + Multi-Zitat Zitieren
#9 20. Januar 2009 AW: Verdacht auf Viren/Trojaner Ich würd dir raten, dein OS auf ner anderen partition zu installen bzw mach dir ne kleine partition so 10 gig install da win xp z.B. dann Kaspersky drauf und mal C: scannen Falls es dieses Securitiy Center gedöns ist, das ding hatte ich auch mal, da hilft nur noch format C + Multi-Zitat Zitieren
#10 20. Januar 2009 AW: Verdacht auf Viren/Trojaner Hast du mal Panda deinstalliert? sind die Fehler dann immer noch vorhanden? wenn sie weg sind würde ich Panda austauschen gegen eine andere FW deiner Wahl. bzw. update dein XP, sind die Fehler auch dann noch da. Ich kann mir anhand deines Logs es nur so erklären, dass es an Panda irgendwie liegt. MFG + Multi-Zitat Zitieren
#11 20. Januar 2009 AW: Verdacht auf Viren/Trojaner ich würd dir raten, zusätzlich noch mal ad-aware drüberlaufen zu lassen und panda gegen kaspersky zu tauschen + Multi-Zitat Zitieren