Viren, Spyware, Datenschutz 11.253 Themen, 94.785 Beiträge

Verfolgung starten Optionen

Habe mir irgendetwas eingefangen, was ich aber nicht haben möcht

Andreas Kühn / 18 Antworten / Baumansicht Nickles

Hallo Leute, bei mir hat sich automatisch beim surfen irgendein Müll installiert, den ich nicht mehr los bekomme. Es will sich beim hochfahren ins www wählen, ist aber kein 0190 Dialer. Da ich dsl habe wäre das ja sowieso nicht drin. Mir ist aufgefallen, dass ich plötzlich im Taskmanager jede Menge Prozesse laufen habe. Ich habe einmal herumgestöbert welche Prozesse zu Win gehören. Ich liste hier deshalb nur die Prozesse auf, auf welche ich keine Antwort gefunden habe, und welche direkt nach dem hochfahren laufen:


AcroTray
eutcuh
Mounter
hpztsbo4
5 MAL svchost
persfw
naviagent
mdm
AVKWCtl
AVKService
alg
services



Außerdem öffnet sich nach kurzer Zeit immer ein pop-up. Nun habe ich SP1 und weitere Sicherheitsupdates von der Microsoft Seite installiert und das pop-up will sich öffnen, schließt sich aber gleich wieder.
Ich habe bereits Adaware und einen Virenkit scannen lassen, welches aber das Problem nicht beheben konnte.


Ich hoffe einer von Euch kann mir helfen...
Danke vorab.
Andreas

bei Antwort benachrichtigen
Max Meier Andreas Kühn „Habe mir irgendetwas eingefangen, was ich aber nicht haben möcht“
Optionen

Hallo Andreas,

die Seiten



und



beschreiben einige deiner Hintergrundprogramme wie folgt:

AcroTray =
Adobe Acrobat Assistant. This background task is installed when you install the full version of Adobe Acrobat. It comes into action when you create PDF files from non Adobe applications through the "Watched Folders" feature of Acrobat Distiller.Recommendation : Usually harmless. Only disable with The Ultimate Troubleshooter if you specifically experience problems with it.

persfw=
This is the main component program of the Tiny Personal Firewall (oder Kerio PF), started at Windows start-up to protect your PC when it is on the Internet.
Recommendation : Leave alone – Essential for the proper functioning of Tiny Personal Firewall.

hpztsbo4 =
Background print job spooling tasks associated with some HP DeskJet printers (eg. DJ-930C, DJ-990C, DJ‑3580). This task also displays an icon in the System Tray called the HP Toolbox which enables the end-user to do various things such as cleaning the heads, aligning the heads, checking the ink level, etc... Recommendation :
Essential under most versions of Windows – leave alone. Under Windows 2000/XP, however, it is no longer essential to printing as, as long as the “Print Spooler” service is enabled (which it always is by default), printing to the printer will be fine. It then becomes a matter of preference as to whether you want to have the HP Toolbox in your System Tray or not. If you choose to disable it, you can do so with The Ultimate Troubleshooter.

5 MAL svchost =
Service Host – Generic Host Process for Win32 Services. The full path to this file should be shown as C:\WinNT\System32\Svchost.exe or C:\Windows\System3\Svchost.exe. Windows 2000/XP/2003 only. SVCHOST is a generic process which acts as a host for processes that run from DLLs rather than EXEs. At startup SVCHOST checks the Services portion of the Registry to construct a list of DLL-based services that it needs to load, and then loads them. There can be many instances of SVCHOST running, as there will be one instance of SVCHOST for every DLL-based service or grouping of services (the grouping of services is determined by the programmers who wrote the services in question). Under Windows XP Professional and Windows 2003 you can find out what DLL-based services SVCHOST is running by typing Tasklist /SVC at a Command/MS‑DOS Prompt (this command is not available in Windows XP Home), while under Windows 2000 you need to use the TLIST –s command from a Command Prompt (MS-DOS Prompt) (depending on how Windows 2000 was installed you may need to download TLIST from the Microsoft website or install it from one of the miscellaneous folders on the Windows 2000 CD). Recommendation :
An integral part of the operating system, leave alone – multiple instances of SVCHOST is a normal occurrence. If you experience SVCHOST errors, the problem is most likely not with SVCHOST but with the DLLs it is hosting. However, if you experience a lot of SVCHOST errors, and particularly, if the full path to SVCHOST.EXE is not any of the above, then you most likely have a virus (see below).

mdm=
Machine Debug Manager. Windows 98/ME/2000/XP/2003. This is used purely by Technically Advanced Users and Developers, and in very specific cases at that. It is not needed in most normal day-to-day uses of a PC. Recommendation :
There is a bug with MDM where it will regularly create zero-length temporary files in the Windows folder and not delete them. If you do not do regular housekeeping you can end up with hundreds of such files. Disable. Note, MDM has a way of restarting of its own when Windows encounters certain conditions – to prevent it from starting altogether many advanced users, ourselves included, resort to renaming MDM.EXE to MDM.EXE.OLD; that solves the problem permanently.

alg=
Application Layer Gateway service found only on Windows XP. ALG is an integral part of ICS (Internet Connection Sharing) and ICF (Internet Connection Firewall) in Windows XP. Microsoft’s description : "Provides support for 3rd Party protocol plug-ins for ICS and ICF". Recommendation : If you use Windows XP’s Internet Connection Firewall, you must have ALG running. If you use a 3rd Party firewall, set ALG to manual in "Control Panel \ Administrative Tools \ Services".

services=
Windows NT4/2000/XP/2003 only. This is the Services Control Manager which is responsible for starting, stopping, and interacting with system services. It’s full path as shown in The Ultimate Troubleshooter is either C:\WINNT\System32\Services.exe in Windows NT4/2000, or C:\Windows\System32\Services.exe in Windows XP/2003. Recommendation : An integral part of the operating system, leave alone.

oder:

If you have Windows NT4/2000/XP/2003 and the full path to this program is C:\WinNT\Services.exe or C:\Windows\Services.exe, then you most probably have the W32.Netsky@mm virus. If you have Windows 95/98/ME and this task is running in the background, then you most probably have that virus too.

Zum Rest hab ich auf die schnelle auch nichts gefunden.
Installiere auf jedenfall Fall mal ein ordentliches Antivirenprogramm.


Gruss
MM





bei Antwort benachrichtigen
Max Meier Nachtrag zu: „Hallo Andreas, die Seiten und beschreiben einige deiner Hintergrundprogramme wie...“
Optionen

Nachtrag:

http://www.answersthatwork.com/Tasklist_pages/tasklist.htm

und

http://www.reger24.de/processes.php

bei Antwort benachrichtigen
Aragorn75 Max Meier „Nachtrag: http://www.answersthatwork.com/Tasklist_pages/tasklist.htm und...“
Optionen

AVKWCtl = AntiVirenKit
AVKService = AntiVirenKit
naviagent = schaust du hier

Für eutcuh und Mounter find ich auch nix...

bei Antwort benachrichtigen
Oliver7 Andreas Kühn „Habe mir irgendetwas eingefangen, was ich aber nicht haben möcht“
Optionen

Was das Pop-Up betrifft, deaktivier doch mal unter Systemsteuerung->Verwaltung->Dienste den Nachrichtendienst, dann ist dementsprechend wenigstens Ruhe

bei Antwort benachrichtigen
Andreas Kühn Nachtrag zu: „Habe mir irgendetwas eingefangen, was ich aber nicht haben möcht“
Optionen

Vielen Dank erstmal für Euere Antworten.

D.h. als Verdächtige bleiben erstmal eutcuh und Mounter übrig, wobei mir Mounter schon früher mal aufgefallen ist, das kanns also aktuell auch nicht sein.

@ Max Meier: Ich habe G-Data Antivirenkit 2004 (sollte -glaube ich- gut genug sein, oder?)

@ Oliver7: Der Nachrichtendienst ist längst deaktiviert, kann damit nichts zu tun haben.

Gibts vielleicht irgendwelche Programme die mir weiterhelfen könnten?

bei Antwort benachrichtigen
Max Meier Andreas Kühn „Vielen Dank erstmal für Euere Antworten. D.h. als Verdächtige bleiben erstmal...“
Optionen

Kurze Antwort: Ja!

"Es will sich beim hochfahren ins www wählen, ist aber kein 0190 Dialer."

Beschreibe doch mal genau was passiert. Wie merkst du das "es" sich sich ins www einwählen will? Ist ungewollt eine neue Verbindung unter Netzwerverbindungen eingetragen?

bei Antwort benachrichtigen
Oliver7 Andreas Kühn „Habe mir irgendetwas eingefangen, was ich aber nicht haben möcht“
Optionen

Spybot: http://security.kolla.de/
Ad-Aware: http://www.lavasoft.de/

bei Antwort benachrichtigen
Plazebo Oliver7 „Spybot: http://security.kolla.de/ Ad-Aware: http://www.lavasoft.de/“
Optionen
Ich habe bereits Adaware und einen Virenkit scannen lassen, welches aber das Problem nicht beheben konnte.

:-/
bei Antwort benachrichtigen
Andreas Kühn Nachtrag zu: „Habe mir irgendetwas eingefangen, was ich aber nicht haben möcht“
Optionen

So jetzt bin ich zwar mittlerweile etwas schlauer, aber das Problem ist noch nicht behoben.

Es ist ein sog. Hijacker

Ich habe jetzt mit versch. Progs (HijackThis, jv16 powertools, cwshredder) versucht diesen Mist zu entfernen.

Aber z.B. die Datei "TV Media" kommt immer wieder zurück. Einfach Wahnsinn... :-(

Ich habe mit dem Prog. HijackThis mal ein .log gemacht. Vielleicht kann mir jemand helfen.

Logfile of HijackThis v1.97.7
Scan saved at 14:08:01, on 08.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
d:\Programme\AntiVirenKit 2004\AVKService.exe
d:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\SYSTEM32\Mounter.exe
C:\WINDOWS\System32\eutcuh.exe
D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\System32\devldr32.exe
C:\Dokumente und Einstellungen\Arsch\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Programme\TV Media\TvmBho.dll
O2 - BHO: (no name) - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Mustek MDC 3000] C:\WINDOWS\SYSTEM32\Mounter.exe
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKLM\..\Run: [kxglyydv] C:\WINDOWS\System32\eutcuh.exe
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Sidesearch (HKLM)
O9 - Extra button: Hilfe zu i-Nav (HKLM)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav (HKLM)
O9 - Extra 'Tools' menuitem: Optionen für i-Nav (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{E38DB5BA-D367-41DB-85D4-418C199F15B4}: NameServer = 217.237.151.161 194.25.2.129

bei Antwort benachrichtigen
Teletom Andreas Kühn „Habe mir irgendetwas eingefangen, was ich aber nicht haben möcht“
Optionen

So So,

die
>Datei "TV Media" kommt also immer wieder zurück.

Und was ist "C:\Programme\TV Media\TvmBho.dll" für ein verdächtiges Browser Help Object BHO in Zeile R3.
Was ist mit Zeile O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe ?

Empfehle Dir dringend die Registryeinträge zu löschen und anschließend mit F8 im abgesicherten Modus zu starten und am einfachsten mindestens das Verzeichnis
C:\Programme\TV Media weglöschen oder als Erinnerung umbenennen in
C:\Programme\TV Media BROWSER HIJACKER

Gruß
Teletom
PS: Wäre diesmal ausgesprochen NETT, wenn Du ein feedback gibst, falls es daran gelegen hat.

bei Antwort benachrichtigen
Andreas Kühn Teletom „So So, die Datei TV Media kommt also immer wieder zurück. Und was ist C:...“
Optionen

Und was ist "C:\Programme\TV Media\TvmBho.dll" für ein verdächtiges Browser Help Object BHO in Zeile R3.
Was ist mit Zeile O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe ?

Genau das meine ich ja!

Die Registryeinträge kann ich zwar löschen, sie sind aber sofort wieder da.... Das Verzeichnis einfach löschen geht leider gar nicht.

Das ist mein Problem

bei Antwort benachrichtigen
Teletom Andreas Kühn „Und was ist C: Programme TV Media TvmBho.dll für ein verdächtiges Browser Help...“
Optionen

Schon mal versucht, im abgesicherten Modus (F8- Taste beim Booten betätigen) zu starten und zu löschen?

Wenn das nicht funktioniert und das ist bei einem installierten BHO mit Sicherheit so, liegt es daran, dass die zu löschende Datei in Gebrauch (inuse) ist.

Bei NTFS- Windows kann man solche Dateien auch ziemlich sicher löschen oder ersetzen.
Man braucht nur das Resource- Kit Tool "inuse".
http://download.microsoft.com/download/win2000platform/inuse/1.0/NT5/EN-US/inuse.exe
downloaden, durch Starten installieren sowie am besten die C:\Programme\Resource Kit\inuse.exe
in das %windir% Verzeichnis kopieren z.B. C:\Windows\inuse.exe oder C:\Winnt\inuse.exe.

Start> Ausführen> cmd [enter] eingeben
und in der Eingabeaufforderung folgendes eintippen:
inuse nul "C:\Programme\TV Media\TvmBho.dll" /y [enter]
inuse nul "C:\Programme\TV Media\Tvm.exe" /y [enter]
shutdown -r [enter]

Gruß
Teletom

bei Antwort benachrichtigen
Max Meier Teletom „Schon mal versucht, im abgesicherten Modus F8- Taste beim Booten betätigen zu...“
Optionen

Oder einfach mit einer MS-DOS-Startdiskette booten und versuchen zu löschen.

bei Antwort benachrichtigen
Andreas Kühn Nachtrag zu: „Habe mir irgendetwas eingefangen, was ich aber nicht haben möcht“
Optionen

Ich habe das Tool runtergeladen und die inuse.exe in c:\windows kopiert.

Dann habe ich in der Eingabeaufforderung oben genanntes eingetippt. Jetzt kommt aber die Fehlermeldung: Der Befehl "c:\programme\tv" ist entweder falsch geschrieben oder konnte nicht gefunden werden.

??? *ratlos

bei Antwort benachrichtigen
Teletom Andreas Kühn „Ich habe das Tool runtergeladen und die inuse.exe in c: windows kopiert. Dann...“
Optionen

Gehe bitte mal in Software rein und versuche TV Media zu deinstallieren.

Start > Systemsteuerung > Software > TV Media Entfernen ...

Wenn das nicht geht:
Start Ausführen msconfig enter schreiben
Systemstart
alle Haken entfernen bei C:\Programme\TV Media\...

dann mit regedit den Schlüssel:
{707E6F76-9FFB-4920-A976-EA101271BC25} mit C:\Programme\TV Media\TvmBho.dll suchen und komplett weglöschen.

Gruß
Teletom
PS: Es könnte sein, dass Dein System nicht nur einen Virus besitzt, in dem Fall ist ein Plattmachen mit anschließender Neuinstallation sowieso das Beste. Unbedingt nach der Neuinsta und Systemaktualisierung EruNt installieren und damit das System sichern, dann kann überhaupt nicht mehr viel passieren.

bei Antwort benachrichtigen
Andreas Kühn Nachtrag zu: „Habe mir irgendetwas eingefangen, was ich aber nicht haben möcht“
Optionen

Teletom, vielen Dank erstmal für Deine Mühe!

Es war tatsächlich in Systemsteuerung - Software drin. Es ließ sich dort sogar löschen und erscheint dort auch nicht mehr.

Das mit dem inuse habe ich mittlerweile auch hinbekommen, war aber leider erfolglos.

mit regedit habe ich den Reg.schlüssel löschen können, war aber nach dem Neustart wieder da.

Mittlerweile bin ich am zweifeln, ob es überhaupt eine Lösung (ausser format c:) gibt *resigniert

Was ist das EruNt ? Wo gibts das ? Wie funktioniert es ?

bei Antwort benachrichtigen
Teletom Andreas Kühn „Teletom, vielen Dank erstmal für Deine Mühe! Es war tatsächlich in...“
Optionen

Hi,
trotzdem erfreulich Deine Mitteilung.

Die BHO- dll- Datei ist weggelöscht und kann keinen Schaden mehr anrichten und das mit Hilfe von inuse.

Der Zustand ist aber nicht ganz zufriedenstellend, denn den BHO- Eintrag bekommst Du in der Registry nicht so ohne weiteres weg, der Browser ist gehijackt und Du bekommst beim Starten immer die Fehlerausschrift, dass der Dateipfad fehlt. Das ist ein eindeutiges Zeichen dafür, dass der Internet Explorer Browser untrennbar mit dem System verbunden ist.

Möchtest Du alles bestens ohne Hijacking haben, musst Du zwangsläufig das System platt machen und völlig neu installieren, was ich Dir auch wärmstens empfehle, da man bei Deinem System nie genau weiß, ob vielleicht noch ein anderer Virus drauf ist.

XP-CD booten, Systempartition mit L-Taste weglöschen, Systempartition neu mit NTFS anlegen und installieren.

Internetverbindung einrichten, Virenschutz einrichten, Windows-Update bis zum Getno durchführen.

Danach als Erstes EruNt einsetzen (Emergency Recovery Utility for NT)
http://home.t-online.de/home/lars.hederer/erunt/erunt.zip
downloaden und in ein Verzeichnis z.B. C:\Programme\Erunt extrahieren.
Im Explorer nach C:\Programme\Erunt wechseln und erunt.exe doppelt anklicken und somit starten - OK
Haken setzen bei Andere geöffnete Benutzerregistrierungen OK
Ordner ex. nicht C:\ERDNT Erstellen? Ja
Sicherung läuft Registry wird in C:\ERDNT gesichert.
Abgeschlossen OK

Falls Du wieder Probleme mit der Registry hast, z.B. ein hijacking BHO, brauchst Du das System nur möglichst im abgesicherten Modus zu starten, im Explorer nach C:\ERDNT zu wechseln und die ERDNT.EXE durch Doppelklick zu starten. Funktioniert so ähnlich wie inuse, d.h. Du musst das System neu starten und nach dem Neustart hast Du wieder den alten sauberen Zustand der Registry zum Zeitpunkt der Erunt- Sicherung.

Gruß
Teletom

bei Antwort benachrichtigen
Andreas Kühn Nachtrag zu: „Habe mir irgendetwas eingefangen, was ich aber nicht haben möcht“
Optionen

Alles klar, vielen Dank Teletom!

Ich werde ihn also platt machen - aber erst am Wochenende da hab ich etwas mehr Zeit für sowas...

Nochmals Danke für alles.

Gruss
Andreas

bei Antwort benachrichtigen