hallo!
seit gestern abend habe ich mit meinem rechner ziemliche probleme. zusäztliches problem: ich war nicht die person am pc, als das erste mal probleme durch trojaner etc auftraten und aja, den trojaner hab ich jetzt glaub ich weg, aber ich hab immer noch probleme. [img]redface.gif[/img]
und zwar will der internet expl. immer wieder auf die seite www.blazefind.com , ich will da aber nicht hin!!! naja, und wenn er zu der seite kommt, dann lädt er aber nichts...

hab jetzt mal was rumgestöbert und dies lo erstellt, poste ich mal hier, ok?
auf jeden fall scheint mir da einiges dran faul zu sein (hab aber ehrlich gesagt auch nicht sooo die ahnung von rechnern etc)...

könnte von euch vllt mal jemand durchsehen, was da alles nicht auf meinen rechner gehört und mir hefen, was ich jetzt weiter tun soll?
das wäre wirklich super nett!


Logfile of HijackThis v1.97.7
Scan saved at 15:12:02, on 26.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\DOKUME~1\THORST~1\LOKALE~1\Temp\msbb.exe
C:\Programme\Bargain Buddy\bin2\bargains.exe
C:\Programme\Apoint2K\Apntex.exe
C:\PROGRA~1\COMMON~2\ADDRES~1\winnet.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\COMMON~2\ADDRES~1\comwiz.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\HijackThis.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\ICQ\ICQ.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.blazefind.com/search.php?search=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.blazefind.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.blazefind.com/search_page.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.blazefind.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://web.de/
O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - C:\PROGRA~1\COMMON~2\ADDRES~1\cnbabe.dll
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet5_48.dll
O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\PROGRA~1\BARGAI~1\bin2\apuc.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [msbb] C:\DOKUME~1\THORST~1\LOKALE~1\Temp\msbb.exe
O4 - HKLM\..\Run: [Bargains] C:\Programme\Bargain Buddy\bin2\bargains.exe
O4 - HKLM\..\Run: [winnet] C:\PROGRA~1\COMMON~2\ADDRES~1\winnet.exe
O4 - HKLM\..\Run: [BEIL] C:\WINDOWS\BEIL.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: RWTH Aachen Cisco VPN Client.lnk = C:\Programme\RWTH Aachen\Cisco VPN Client\vpngui.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O11 - Options group: [CommonName] CommonName
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Loader Class) - http://connect.online-dialer.com/MaConnect.cab
O16 - DPF: {03C543A1-C090-418F-A1D0-FB96380D601D} (preload control) - http://216.82.66.200/build/preload.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/19fbdabe5ec87ec97c21/netzip/RdxIE601_de.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://www2.flingstone.com/cab/2000XP/bridge.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37937.1714351852
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/crack.CAB

daaankeschön!

Hallo Hanna, willkommen an Board!

Erster Schritt: Gehe in >Systemsteuerung >Software und such nach "new.net" oder "NewDotNet" bzw. Ähnliches in dieser Richtung. Markiere diesen Eintrag und deinstalliere diese Spyware. Wenn fertig, sag Bescheid.

habs deinstalliert und neugestartet.

und nu?

Ein fetter Haufen Müll.

Wichtig: Zuerst NewDotNet (NewNet, New.Net) per Systemsteuerung -> Software deinstallieren.
Auch nach dem Eintrag "Web3000" o.ä. suchen und deinstallieren.
Bei einfacher Löschung zerschießt diese Foistware das Netzwerk.
http://www.cexx.org/newnet.htm
http://accs-net.com/smallfish/web3000.htm

"winnet.exe" und "comwiz.exe" = Spyware CommonName
http://www.doxdesk.com/parasite/CommonName.html

Um es abzukürzen: Da ist noch mehr Spyware, nämlich Bargain Buddy, CNBabe, IgfxTray, MyBar, IESearchBar.

Spybot S&D anwenden - www.safer-networking.org
Vor der Anwendung unbedingt updaten.

Danach nochmal einen Log posten zum Reste entfernen.

Da ist nämlich noch mehr merkwürdiges Zeugs.
C:\WINDOWS\BEIL.exe
C:\WINDOWS\Downloaded Program Files\bridge.dll

Jetzt erstmal nach Web3000 suchen und deinstallieren.

</font><blockquote>Zitat:</font><hr />Original erstellt von hanna_s:
[...]den trojaner hab ich jetzt glaub ich weg, aber ich hab immer noch probleme. [img]redface.gif[/img] </font>[/QUOTE]Welche Trojaner? Welches AntiViren-Programm gab welche Meldung aus?

</font><blockquote>Zitat:</font><hr />und zwar will der internet expl. immer wieder auf die seite h**p://www.blazefind.com</font>[/QUOTE]Der Internet Explorer ist kein ausreichend sicherer Browser, und sollte daher durch eine sicherere Alternative ausgetauscht werden.

</font><blockquote>Zitat:</font><hr />hab jetzt mal was rumgestöbert und dies lo erstellt, poste ich mal hier, ok?</font>[/QUOTE]Sicher.

Das Folgende ist Adware, also Systemballastm der unbedingt gelöscht werden sollte (dazu im Laufe des Postings mehr):

C:\DOKUME~1\THORST~1\LOKALE~1\Temp\msbb.exe
C:\Programme\Bargain Buddy\bin2\bargains.exe
C:\PROGRA~1\COMMON~2\ADDRES~1\winnet.exe
C:\PROGRA~1\COMMON~2\ADDRES~1\comwiz.exe


Vor folgenden Einträgen solltest du in HijackThis ein Häkchen setzen und dann "Fix checked" klicken. Der IE muss dabei geschlossen sein.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.blazefind.com/search.php?search=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.blazefind.com
R1 - HKLM\Software\Microsoft\Internet
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.blazefind.com/search_page.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.blazefind.com
O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - C:\PROGRA~1\COMMON~2\ADDRES~1\cnbabe.dll
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\PROGRA~1\BARGAI~1\bin2\apuc.dll
O3 - Toolbar: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [Bargains] C:\Programme\Bargain Buddy\bin2\bargains.exe
O4 - HKLM\..\Run: [winnet] C:\PROGRA~1\COMMON~2\ADDRES~1\winnet.exe
O4 - HKLM\..\Run: [BEIL] C:\WINDOWS\BEIL.exe
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Loader Class) - http://connect.online-dialer.com/MaConnect.cab
O16 - DPF: {03C543A1-C090-418F-A1D0-FB96380D601D} (preload control) - http://216.82.66.200/build/preload.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/19fbdabe5ec87ec97c21/netzip/RdxIE601_de.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://www2.flingstone.com/cab/2000XP/bridge.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/crack.CAB

Dann die Systemwiederherstellung in XP deaktivieren, System neu starten. Abschließend Spybot S&D von http://security.kolla.de laden, installieren, updaten, scannen lassen, Malware-Reste entfernen. Systemwiederherstellung reaktivieren und System neu starten.

Den Browser wechseln (der IE ist, wie gesagt, zu unsicher):

- http://mozilla.kairo.at
- http://firebird-browser.de
- http://opera7.de


Edit, wichtig! Unbedingt den Hinweis von spacelord bzgl. web3000 beachten (das ist die msbb.exe und auf sie verweisende Einträge). Ebenso deinstallieren wie NewDotNet.

[ 26. Januar 2004, 16:27: Beitrag editiert von: mmk ]

vielen dank. werd mir eure antworten jetzt erst mal ausdrucken,muss jetzt leider zu nem wichtigen termin, danach versuchen, das hier am rechner zu managen...

danke aber schon mal, wirklich!

Bzgl. der Vorgehensweise:
Du kannst es machen, wie von mmk vorgeschlagen, also erst die HijackThis-Einträge "fixen", dann Spybot S&D anwenden, oder aber umgekehrt: Erst Spybot S&D, dann nochmal einen Log posten.
Nur um Verwirrung zu vermeiden...

Aber du sagst uns noch, was "C:\WINDOWS\BEIL.exe" ist, ne ?
Falls du's nicht weißt, schickst du mir die Datei mal bitte ? Thx.

also hab jetzt alles so in der art gemacht, wie ihr meintet (ähm, die reihenfolge, keine ahnung, aber müsste geklappt haben).

tut mir jetzt leid, beil.exe ist leider schon weg, habs hier zu spät gelesen.

web300 oder so in der arthab ich nicht gefunden.

und die trojaner... also, einen, der stubby hieß und gestern kam und dann heute noch zwei, die ich aber sofort absoluut gernvt gelöscht habe, als antivir die meldete. (&lt;-hab übrigens antivir )

ich poste jetzt noch mal den aktuellsten log, ok?

und vielen vielen dank noch mal!

Logfile of HijackThis v1.97.7
Scan saved at 21:38:44, on 26.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\HijackThis.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://web.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: RWTH Aachen Cisco VPN Client.lnk = C:\Programme\RWTH Aachen\Cisco VPN Client\vpngui.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37937.1714351852

ich bins noch mal [img]smile.gif[/img]
hab noch mal wegen den trojanern nachgeguckt. also, der erste von gestern war:
TR/Stubby
und dann heute:
TR/Beloru
TR/IstBar.S und jetzt hab ciha uch erkannt, wo das beil.exe her kam, nämlich von TR/Beloru.

Hallo Hanna!

Das Log sieht nun OK aus, solange du aber den IE nutzt, wirst du immer wieder diese Art von Malware installiert bekommen können:

TR/Stubby
http://www.sophos.com/virusinfo/anal...ppstubbya.html

TR/Beloru
(auf die Schnelle keine Infos gefunden)

TR/IstBar.S
http://www.doxdesk.com/parasite/ISTbar.html


Tipp: such dir einen der von mir bereits oben verlinkten Alternativbrowser aus!