System Alert

Hallo

Das Wichtigste:
 

Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Deinem Betriebssystem fehlt das ServicePack 2 und demnach auch alle nachfolgenden Updates. Will heißen, dass Dein System löchrig ist wie ein schweizer Käse...

Sonst kann ich Deinem Log nichts entnehmen... Evtl. diese Datei 

D:\WINDOWS\System32\fwzozx.dll

mal zur Überprüfung bei VirusTotal hoch laden und evtl. Funde hier posten...

Was meldet Deine Antiviren-Software? Gehe mal bei Norton in die Quarantäne und schau nach. In der Regel verschiebt Norton gefundene Malware automatisch in die Quarantäne, wenn Du diese Einstellung nicht geändert hast.

MfG   

Danke für die Schnelle Antwort,

hier mal die überprüfte Datei, der Norton hat in der Quarantäne den Trojaner erkannt und beseitigt. Mich nervt weiterhin allerdings dieses Popup Fenster mit der Alert Warnmeldung, wenn ich darauf klicke gelange ich auf eine Seite die mir Antiviren-Software verkaufen will.

http://www.antivirgear.com/?aff=1003

Ich würde mich sehr über Deine Unterstützung freuen, da ich nicht allzu fit bin und in der Reg. nix falsches löschen möchte.

Den Serv.Pack2 hab ich nicht drauf das ich nicht die Notwendigkeit aus Sicherheitsgründen sah und mein Norton mich bislang nicht im Stich gelassen hat.

Ich wollte mein System mal neu aufspielen, mit dem Serv-Pack2 welches hier schon länger auf dem Tisch liegt. Da ich, never change a running system denker bin wollte ich davon absehen.

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.19.0 2007.10.18 -
AntiVir 7.6.0.27 2007.10.19 -
Authentium 4.93.8 2007.10.19 -
Avast 4.7.1051.0 2007.10.18 -
AVG 7.5.0.488 2007.10.19 Lop
BitDefender 7.2 2007.10.19 -
CAT-QuickHeal 9.00 2007.10.18 -
ClamAV 0.91.2 2007.10.17 -
DrWeb 4.44.0.09170 2007.10.19 -
eSafe 7.0.15.0 2007.10.15 -
eTrust-Vet 31.2.5223 2007.10.19 -
Ewido 4.0 2007.10.18 -
FileAdvisor 1 2007.10.19 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.19 -
F-Secure 6.70.13030.0 2007.10.19 Trojan-Downloader.Win32.Bojo.m
Ikarus T3.1.1.12 2007.10.19 -
Kaspersky 7.0.0.125 2007.10.19 Trojan-Downloader.Win32.Bojo.m
McAfee 5144 2007.10.18 -
Microsoft 1.2908 2007.10.19 -
NOD32v2 2601 2007.10.18 -
Norman 5.80.02 2007.10.18 -
Panda 9.0.0.4 2007.10.18 -
Prevx1 V2 2007.10.19 -
Rising 19.45.42.00 2007.10.19 -
Sophos 4.22.0 2007.10.19 -
Sunbelt 2.2.907.0 2007.10.18 -
Symantec 10 2007.10.19 -
TheHacker 6.2.9.099 2007.10.19 -
VBA32 3.12.2.4 2007.10.19 -
VirusBuster 4.3.26:9 2007.10.18 -
Webwasher-Gateway 6.6.1 2007.10.19 -
weitere Informationen
File size: 12800 bytes
MD5: 4f4602635846663b309c82cbc8a812cc
SHA1: 192ad7d56101f76a37ee1f97dae23e5a537c40cd


 

Hallo

 

Trojan-Downloader.Win32.Bojo.m

Wenn das stimmen sollte, würde ich Dir zu einem neu Aufsetzen des Systems raten. Aber da bisher nur 2 Virenscanner diesen gefunden haben, mache bitte folgendes:

Gehe auf diesen Link... Das ist eine Seite von Avira, wo Du verdächtige Dateien zur Analyse einsenden kannst.

Wähle als Typ "verdächtige Datei" und lade die "D:\WINDOWS\System32\fwzozx.dll" dort hoch. Nach ca. 1-2 Tagen erhälst Du per eMail das Ergebnis der Analyse. Dieses bitte hier posten.

Desweiteren lade Dir bitte SpyBot Search & Destroy, installiere es (ohne den TeaTimer) und führe es aus. Alles was er findet kannst Du löschen... Das PopUp Fenster hört sich nach Deiner Beschreibung schwer nach SpyWare an und diese könnten wir vermutlich mit Hilfe von SpyBot los werden.

Alles weitere, wenn wir die Antwort von Avira haben.

MfG

Hallo,
Er hat SP1 drauf dass ist schon ein Grund zu formatieren.

Außerdem hat er einen Downloader drauf.

Formatieren und SP2 drauf,vorher kannst du noch wichtige dateien auf cd brennen.

http://www.trojaner-board.de/12154-anleitung-neuaufsetzen-des-systems-und-anschliessende-absicherung.html

gruß deniz

 

Er hat SP1

Ist bekannt und oben schon von mir bemängelt worden.

 

dass ist schon ein Grund zu formatieren.

Warum? Das einspielen des SP2, sofern das System sauber ist, ist völlig ausreichend...

 

Außerdem hat er einen Downloader drauf

100% sicher ist das noch nicht, oder weißt Du mehr als ich. Falls ja, habe ich ebenfalls Formatieren angeraten... siehe auch oben ;-)

MfG

 

@frank1968


fixe diese Einträge:

O4 - HKLM\..\Run: [SpyHunter] D:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O22 - SharedTaskScheduler: barysilite - {c74f7434-a6e7-46c3-bf60-62a005074fe5} - D:\WINDOWS\System32\fwzozx.dll



Boote neu und deinstalliere das Programm Spyhunter!!

Lade dir dazu CCleaner runter:

http://www.chip.de/downloads/c1_downloads_16317939.html

@crying-eagle hättest du google benutzt hättest du gesehen,dass "D:\WINDOWS\System32\fwzozx.dll" schädlich ist!!!

Außerdem lasse deinen pc mal online scannen mit f-secure und panda:

http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(internet explorer)
solltest du antivire auf em pc haben,wird es dir sagen,dass es was gefunden hat,da gehst du auf ignorieren.

F-secure:(internet explorer)
http://support.f-secure.de/ger/home/ols.shtml

Danach scanne deinen pc mit Cureit:
Cureit:
Das kostenlose Programm muss nur herunter geladen, eine Installation ist nicht erforderlich und ist vollständig in Deutsch.
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
oder
http://www.freedrweb.com/cureit/?lng=de
Wähle nach der kurzen Expressprüfung deine Systempartition aus, in der Regel ist das Laufwerk C und
beginne den vollständigen Scan. Poste bitte bei einen Malware Fund auf jeden Fall den ausführlichen Scanreport von Cureit hier !

Die Aktion muss im abgesicherten Modus von Windows erfolgen und
achte darauf dass der Browser geschlossen ist und keine Internetverbindung besteht, Idealerweise sollten alle Anwendung geschlossen sein !
Unter http://www.bsi.de/av/texte/wiederher.htm
findet man eine Anleitung zum Start im abgesicherten Modus von Windows.

Danach boote neu,und erstelle ein neues Log mit Hijackthis.

Poste alle weiteren Funde.

gruß deniz 

Ein Großes DANKESCHÖN an alle die mich so gut unterstützt haben,

ich habe gesten noch dieses  O22 - SharedTaskScheduler: barysilite - {c74f7434-a6e7-46c3-bf60-62a005074fe5} - D:\WINDOWS\System32\fwzozx.dll

im Abgesicherten Modus gefixt.

Danach war diese Meldung "System Alert" mit aufblinkendem Pop Up verschwunden,

Sollte ich wieder die Systemwiederherstellung aktivieren?

Ich werde nun mal alles so lassen wie et is, denn augenscheinlich läuft alles wieder wie vorher. Übrigens hatte ich wenn ich GT-Legends gestartet habe immer wenn das Pop-Up Fenster aufgegangen ist, dieses mit der System-Alert Meldung, mein GTL in der Taskleiste liegen, janz toll.

Neuinstallation werde ich mal angehen wenn das Wetter schlechter wird.

Warum soll ich den SPY-HUNTER deinstallieren?

Also vielen Dank an Euch, klasse Tipps.

Frank aus Düsseldorf
 
   

Systemwiederherstellung AN , und gleich neuen Punkt setzen .....

NEIN eben nicht HCK!!!!!


Spyhunter war früher selber als Schädling bekannt war,und ein sehr schlechtes Programm ist,also fixe bitte den eintrag von Spyhunter und deinstalliere es  .

Mache ein neues Logfile,(fixen macht man im normalmodus).
Ich schaue mir es dann nochmal an.

gruß deniz

WENN alles SAUBER ist , natürlich wieder mit S-W arbeiten  ....... hilft bei kleinen Fehlern schnell ..

Wie wäre es mit :
Spybot S&D  mit TeaTimer gegen unerlaubte Registry-Änderungen
http://www.spybot.info/de/mirrors/index.html
oder Adware SE
http://www.chip.de/downloads/c1_downloads_13000824.html
 

"Wenn" alles sauber ist,deswegen möchte ich erst noch das Log sehen.

O4 - HKLM\..\Run: [SpyHunter] D:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe

du, finde ich nicht mehr !!!

Allerdings werde ich Dir den Log-File nochmal senden.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:09:38, on 20.10.2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\PROGRA~1\MICROS~2\GAMECO~1\common\swtrayv4.exe
D:\Programme\Logitech\iTouch\iTouch.exe
D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE
D:\Programme\Creative\ShareDLL\CtNotify.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Programme\LightSurf\Common\IconMgr.exe
D:\Programme\Creative\ShareDLL\MediaDet.Exe
E:\Win Zip\WinZip\WZQKPICK.EXE
D:\Programme\WISO\Sparbuch 2007\rswisoservice.exe
D:\Programme\LightSurf\Colorific\hgcctl95.exe
D:\Programme\LightSurf\Color Indicator\TICIcon.exe
D:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
D:\WINDOWS\System32\CTSvcCDA.exe
D:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
D:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - D:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - D:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SideWinderTrayV4] D:\PROGRA~1\MICROS~2\GAMECO~1\common\swtrayv4.exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [EPSON Stylus C86 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O5 "LPT1:" /M "Stylus C86"
O4 - HKLM\..\Run: [Disc Detector] D:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SsAAD.exe] D:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "D:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "D:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "D:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [swg] D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: LightSurf.lnk = D:\Programme\LightSurf\Common\IconMgr.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Win Zip\WinZip\WZQKPICK.EXE
O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://D:\PROGRA~1\MICROS~3\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - D:\Programme\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - D:\Programme\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: d:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E80FA12C-2FD6-43A5-859B-561FD9369E88}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{5E5B63FD-FBD8-46E1-BAFE-B5DB0A9A152C}: NameServer = 192.168.2.1
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - D:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - D:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - D:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - D:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Norton UnErase Protection (NProtectService) - Symantec Corporation - D:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - D:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Speed Disk service - Symantec Corporation - D:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - D:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - D:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Symantec Core LC - Unknown owner - D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\Programme\T-DSL SpeedManager\tsmsvc.exe

--
End of file - 8766 bytes


 

Wäre nett!!
Findest du Spyhunter im Log nicht mehr oder als Programm?

gruß deniz

hatte nur noch den Eintrag TXT oder so im Ordner von Enigma Software , hab ich auch gelöscht.