Hallo,

ich wurde von meiner Family zur Hilfe gerufen, habe aber leider selber nicht genug Ahnung folgendes Problem zu lösen:

Auf dem Familien Rechner (drei Benutzer angemeldet), öffnet sich nach dem Start des IE
der Explorer sofort noch mal und startet in den meisten Fällen eine Googlesuche mit den
Begriffen 'george +bush +idiot'. Wesentlich seltner erscheinen noch drei andere Seiten
(oldgames.se, free6.se, snyggast.se).

Ad-Aware und Spybot konnten nicht helfen. Was soll ich tun um die Quälgeister los zu werden?
Würde mich riesig freuen wenn mir einer von euch Rittern in schillernder Rüstung helfen könnte.

Hier schon mal das Ergebnis vom HijackThis Scan:

Logfile of HijackThis v1.99.0
Scan saved at 21:39:49, on 06.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Lexmark 5200 series\lxbtbmgr.exe
C:\Programme\Lexmark 5200 series\lxbtbmon.exe
E:\programme\quicktime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
E:\AOL 9.0\aoltray.exe
D:\Programme\ZyXEL Technology Corporation\ZyAIR G-220 Utility\ZDWlan.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\lxbtcoms.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
D:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [WiseFTP] C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
O4 - HKLM\..\Run: [infamous.exe] C:\Programme\Windows Media Player\wmplayer.exe
O4 - HKLM\..\Run: [Lexmark 5200 series] "C:\Programme\Lexmark 5200 series\lxbtbmgr.exe"
O4 - HKLM\..\Run: [LXBTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\SEBAST~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [rinfom] C:\WINDOWS\System32\rinfom.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = E:\AOL 9.0\aoltray.exe
O4 - Global Startup: ZDWlan.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\SEBAST~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\SEBAST~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {23232323-2323-2323-2323-232323291122} - file://c:\x.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game15.zylomgames.com/activex/zylomloader.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: IMAPI CD-Burning COM Service - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxbtcoms.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: PCTEL Speaker Phone - Unknown - C:\WINDOWS\system32\pctspk.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

@ Och nö!

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade bitte das aktuelle Service Pack SP2 runter: www.windowsupdate.com

Überprüfe den Rechner mit dem eScan.

Erstelle einen neuen Ordner (=Verzeichnis) "bases" aus C: Downloade den eScan entsprechend der in diesem Link gegebenen Anleitung in diesen neuen Ordner, entpacke ihn in diesen neuen Ordner, update ihn online und führe ihn offline im abgesicherten Modus aus, wie beschrieben.

Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden, es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

SD

Ok, dumm gelaufen.
Nun habe ich alle fehlenden Updates runtergeladen, nur das SP2 nicht.
Dafür bräuchte ich 1800MB freien Speicher und der ist nicht vorhanden.
Wer auch immer meiner Familie den Rechner damals eingerichtet hat, hat
eine Partition angelegt, die wohl gerade ausreicht um das System am laufen
zu halten. Da jetzt auf C: eigentlich nur noch Windows ist, weiß ich auch
nicht wo ich den Speicher hernehmen sollte.
Was soll ich jetzt machen (bitte nicht sagen den Schrott wegschmeißen, ich
bin schon frustriert genug)? Soll ich eScan trotzdem Benutzen? Hab ich ohne
das SP2 überhaupt eine Chance die Plagegeister wieder los zu werden?

@ Och nö!

falls Du wissen möchtest, ob und welche Plagegeister sich auf Deinem Rechner befinden, solltest Du den eScan so anwenden, wie oben beschrieben.

Zitat:

Zitat von Shadowdance

@ Och nö!

falls Du wissen möchtest, ob und welche Plagegeister sich auf Deinem Rechner befinden, solltest Du den eScan so anwenden, wie oben beschrieben.

Ok, daraus entnehme ich das ich den SP2 brauche.
Wenn es nur mal mein Rechner wäre, dann wäre alles etwas einfacher.
Fakt ist, das die Installation vom SP2 wegen fehlendem Speicher abbricht.
Außerdem habe ich schon alles freigeräumt was mir eingefallen ist, da ist
trotzdem nicht genug frei.

Hat es faktisch keinen Sinn den eScan ohne Sp2 laufen zu lassen?

Ich rechne ja schon nicht mehr mit einer Kompletten Reparatur des Systems,
würde aber gerne Versuchen den Rechner weitmöglichst zu sichern, bis
alle Benutzer (Familienmitglieder) ihre Daten ect. sichern konnten.
Dann sollte der Rechner eh komplett überarbeitet werden, aber das kann
noch ein paar Tage dauern.
Ich bin jetzt schon für die schnelle Hilfe dankbar, würde mich aber über Vorschläge
wie ich das Ding einigermaßen am laufen halten kann riesig freuen.

@ Och nö!,

sprichst Du Deutsch? Es wäre zwar wünschenswert, dass Du das SP2 runterladen könntest, aber wenn es nicht geht, dann geht es eben nicht. Der eScan hat nichts mit dem SP2 zu tun. Es handelt sich bei dem eScan um einen Scanner, der Malware auf Deinem System feststellen soll, so Du ihn denn laufen lassen willst.

Mit dem eScan kannst Du herausfinden, ob Du Malware auf dem System hast. Sollte die Malware aus Würmern oder Viren mit Backdoor-Funktionalität bestehen, werden wir es Dir mitteilen, wenn Du das Ergebnis des eScan gepostet hast. Vom Ergebnis des eScan hängt es ab, zu was wir dir weiter raten können.

SD

SD du hattest das SP2 und E-Scan als zwei aufeinanderfolgende Schritte angegeben, es ist für uns, die wir täglich damit zu tun haben, natürlich klar, dass dies nichts miteinander zu tun hat, für jemanden, der das zum ersten Mal liest, sieht das schon anders aus.


@ Och nö

Die 1800MB sind ein Schreibfehler, nehme ich an? 180 könnte ich mir ja noch vorstellen. Wie groß ist denn diese Partition und die Platte, auf der sie sich befinden, insgesamt? Die im SP2 enthaltenen sicherheitsrelevanten Patches kannst du auch einzeln beim windowsupdate herunterladen.

Hallo,
hier ist das umwerfende Ergebniss von eScan,

=> Total Virus(es) Found: 31

File C:\WINDOWS\System32\vbsys2.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus.
File C:\WINDOWS\System32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot.
File C:\WINDOWS\System32\vbsys2.dll_old infected by "Trojan-Clicker.Win32.Agent.ac" Virus.
File C:\Dokumente und Einstellungen\Se\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3.jar-3c0efa2b-34996e77.zip infected by "Trojan.Java.ClassLoader.k" Virus.
File C:\Programme\Gemeinsame Dateien\aolback\comp01.000 tagged as not-a-virus:Tool.Win32.Reboot.
File C:\Programme\Norton AntiVirus\Quarantine\0279477E.class infected by "Trojan.Java.ClassLoader.k" Virus.
File C:\Programme\Norton AntiVirus\Quarantine\069D3261 infected by "Trojan.Win32.Dialer.ef" Virus.
File C:\Programme\Norton AntiVirus\Quarantine\0C2B0BA8.zip infected by "Trojan.Java.ClassLoader.f" Virus.
File C:\Programme\Norton AntiVirus\Quarantine\15437BA6.class infected by "Trojan.Java.ClassLoader.i" Virus.
File C:\Programme\Norton AntiVirus\Quarantine\1B7910B9.exe infected by "Trojan.Win32.SecondThought.l" Virus.
File C:\Programme\Norton AntiVirus\Quarantine\1D705290.exe infected by "Trojan.Win32.SecondThought.l" Virus.
File C:\Programme\Norton AntiVirus\Quarantine\27F77B68.zip infected by "Trojan.Java.ClassLoader.f" Virus.
File C:\Programme\Norton AntiVirus\Quarantine\31726E5B infected by "TrojanDownloader.Win32.VB.dj" Virus.
File C:\Programme\Norton AntiVirus\Quarantine\3378735B infected by "TrojanDownloader.Win32.Small.gl" Virus.
File C:\Programme\Norton AntiVirus\Quarantine\39F56923 infected by "TrojanDownloader.Win32.Small.mt" Virus.
File C:\Programme\Norton AntiVirus\Quarantine\3D2F7A60.exe infected by "Trojan-Downloader.Win32.Small.aaq"
File C:\Programme\Norton AntiVirus\Quarantine\3E457A6E infected by "TrojanDownloader.Win32.Small.go" Virus.
File C:\Programme\Norton AntiVirus\Quarantine\47DF0E0E.zip infected by "Trojan.Java.ClassLoader.c" Virus.
File C:\Programme\Norton AntiVirus\Quarantine\5AE3778B.htm infected by "Exploit.HTML.Mht" Virus.
File C:\Programme\Norton AntiVirus\Quarantine\5E280CE3 infected by "Trojan.Java.ClassLoader.k" Virus.
File C:\Programme\Norton AntiVirus\Quarantine\622846BE infected by "Trojan.Win32.Dialer.ek" Virus.
File C:\Programme\Norton AntiVirus\Quarantine\6AF25C92.class infected by "Trojan.Java.ClassLoader.k" Virus.
File C:\Programme\Norton AntiVirus\Quarantine\75267828.class infected by "Trojan.Java.ClassLoader.i" Virus.
File C:\Programme\Norton AntiVirus\Quarantine\75D12234 infected by "TrojanDownloader.Win32.Small.xa" Virus..
File C:\Programme\Norton AntiVirus\Quarantine\7F257460 infected by "TrojanDownloader.Win32.Briss.a" Virus.
File C:\Programme\Norton AntiVirus\Quarantine\7F2C4859 infected by "not-a-virus:AdWare.ToolBar.CaptainCode.a"
Virus.
File C:\WINDOWS\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot.
File C:\WINDOWS\system32\vbsys2.dll_old infected by "Trojan-Clicker.Win32.Agent.ac" Virus.
File D:\Se\Audiograbber1.80\AudioGrabber 1.82 Final\agsetup.exe tagged as not-a-virus:Tool.Win32.Reboot.
File D:\Se\Audiograbber1.80.zip tagged as not-a-virus:Tool.Win32.Reboot.
File E:\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot.


Ich hoffe es macht einen Unterschied, dass sich die meisten Dateien in …\Norton AntiVirus\Quarantine\… befinden.

Trotzdem, nur raus mit der schebbigen Wahrheit. Was soll ich jetzt tun?

Hi,
erstens mal den Quarantäne-ordner von Norton leeren.
Dann die Dateien, die nicht im Quarantäne-Ornder sind, im abgesicherten Modus löschen,
außer die ganzen "tagged as not-a-virus:Tool.Win32.Reboot."
Dann sollte der Spaß vorbei sein.
cacatoa
Edit: und in Zukunft vorsichtiger surfen...