Hallo,
immer wenn ich meinen Internet Explorer öffne, öffnet sich IMMER automatisch eine zweite Site die meistens oldgames.se oder h**p://11161a.splash.sexsearch.com/, usw ist.
Eine Claudia78 hat bereits das selbe Problem am 30.05.2005 gepostet. Die Antworten für Claudia78 habe ich teilweise auch schon befolgt wie zB.

1. Ich habe mein Windows XP auf Service Pack 2 geupdatet
2. Nach der installation bin ich auf winupdate.com gegangen und habe alle wichtigen Updates downgeloadet und installiert.
3. Weiters habe ich auf http://virusscan.jotti.org/ die Datei C:\Windows\System32\vbsys2.dll überprüfen lassen - mit folgendem Ergebnis:

Service load: 0% 100%
File: vbsys2.dll
Status: INFECTED/MALWARE
MD5 7a80c4e30ff2189efff29a75f321695a
Packers detected: -
Scanner results
AntiVir Found TR/Click.Agent.AC
Avast Found Win32:PornAd
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found Trojan.Clicker.Agent-19
Dr.Web Found Trojan.Click.372
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found Trojan-Clicker.Win32.Agent.ac
mks_vir Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
VBA32 Found nothing


Anbei noch mein HijackThis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:44:13, on 02.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Lexmark X5100 Series\lxbabmgr.exe
C:\Programme\Lexmark X5100 Series\lxbabmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hijackthis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nokia.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.yahoo.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [XM2002] C:\Programme\IPPS\XM2002®\XM2002.exe -auto
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security Professional\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD 5.1.0.0\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117652969828
O17 - HKLM\System\CCS\Services\Tcpip\..\{76E90683-643A-4ED8-A21A-62E39BEE2F01}: NameServer = 195.58.160.194 195.58.161.122
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe


Bitte teilt mir mit was ich nun zu tun habe um diesen Kack endlich los zu werden.
Dankeschön im Voraus

Wechsle in den abgesicherten Modus bei deaktivierter Systemwiederherstellung:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm

Fixe mittels HijackThis folgenden Eintrag:

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll

Lösche manuell:

C:\WINDOWS\System32\vbsys2.dll

Führe zu deiner Sicherheit noch Escan wie beschrieben aus.
Teile uns die Funde mit.

P.S: Super, das du dich vorher informiert hast und alle relevanten Infos mitbringst

Hallo Cronos - erstmal danke für deine Hilfe!

Wenn ich jetzt den Internet Explorer öffne erscheint kein oldgames.se oder anderes mehr !

Ich habe alle Punkte wie mitgeteilt befolgt.
Ich habe die Systemwiederherstellung deaktiviert und im abgesicherten Modus
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
mit HijackThis gefixt.

Dann manuell (immer noch im abgesicherten Modus) folgende Datei gelöscht: C:\WINDOWS\System32\vbsys2.dll

Weiters hab ich im abgesicherten Modus noch ein eScan durchgeführt. Nur kann ich den Log (MWAV.LOG) hier irgendwie nicht posten weil es zu gross ist.
Ich poste hier mal einen Teil - vielleicht hilft das ja schon

Thu Jun 02 17:49:54 2005 => ***** Scanning complete. *****

Thu Jun 02 17:49:54 2005 => Total Objects Scanned: 12914
Thu Jun 02 17:49:54 2005 => Total Virus(es) Found: 2
Thu Jun 02 17:49:54 2005 => Total Disinfected Files: 0
Thu Jun 02 17:49:54 2005 => Total Files Renamed: 0
Thu Jun 02 17:49:54 2005 => Total Deleted Objects: 0
Thu Jun 02 17:49:54 2005 => Total Errors: 445
Thu Jun 02 17:49:54 2005 => Time Elapsed: 00:03:25
Thu Jun 02 17:49:54 2005 => Virus Database Date: 2005/05/29
Thu Jun 02 17:49:54 2005 => Virus Database Count: 132253

Thu Jun 02 17:49:54 2005 => Scan Completed.

Thu Jun 02 17:50:47 2005 => Virus Database Date: 2005/05/29
Thu Jun 02 17:50:47 2005 => Virus Database Count: 132253
Thu Jun 02 17:50:49 2005 => AV Library Unloaded (3)...


Somit hab ich noch 2 Fragen:
Wie teile ich dir das Ergebnis des Logfiles von eScan mit? Also welchen Abschnitt benötigst du?
Weiters möcht ich noch wissen wann ich die Einstellung "Systemwiederherstellung deaktivieren" wieder ändern soll.

Dankeschön

Beachte den Teil aus Cidres Anleitung:

Zitat:

2. Möglichkeit: Wenn du unsicher bist, dann solltest du einen neuen Thread eröffnen und uns die 'Virus Log Information' [5] zur Verfügung stellen, damit wir dein System analysieren können. Gehe wie folgt vor:

[5] Rechtsklick auf die Find.bat -> Ziel speichern unter… z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten.

An dieser Stelle, vielen Dank an Haui45, dem Autor der Find.bat.
Sollten Probleme beim Ausführen der Find.bat auftreten, dann lies bitte folgenden Thread von Haui durch.
Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor du es postest.

Denn 2 Viren wurden immernoch gefunden.

Ich habe wie beschrieben die Datei Find.bat wie angegeben unter
C:\Find.bat\Find.bat gespeichert danach doppelgeklickt und auf "Ausführen" geklickt - danach erscheint ein grosses schwarzes Fenster indem sich folgender Text immer wieder wiederholt
"Prozess kann nicht auf die Datei zugreifen, da dieser von einem anderen Prozess verwendet wird"

Ich hab das im normalen und im abgesicherten Modus gemacht - jedoch immer wieder das selbe - muss ich da länger warten?
Muss das nun im abgesicherten oder im normalen Modus gemacht werden?

Sorry aber ich hab ja keinen Plan von solchen Dingen die für euch selbstverständlich erscheinen

Dann speiche die Find.bat mal auf dem Desktop ab und klicke sie 2x an. Dann m u s s es gehen

Hallo,

führe bitte das aus.

ok hab ich gemacht - anbei der Inhalt von eScan_Neu

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Thu Jun 02 17:49:54 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Thu Jun 02 17:49:54 2005 => Total Virus(es) Found: 2
Thu Jun 02 17:49:54 2005 => Total Errors: 445
Thu Jun 02 17:49:54 2005 => Time Elapsed: 00:03:25
Thu Jun 02 17:49:54 2005 => Total Objects Scanned: 12914
Thu Jun 02 17:46:01 2005 => Virus Database Date: 2005/05/29
Thu Jun 02 17:49:54 2005 => Virus Database Date: 2005/05/29
Thu Jun 02 17:50:47 2005 => Virus Database Date: 2005/05/29
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


aber mehr steht auch ned drin - i steh auf da Leitung

ich krieg das nicht hin - es steht nur das in eScan_neu:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Thu Jun 02 17:49:54 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Thu Jun 02 17:49:54 2005 => Total Virus(es) Found: 2
Thu Jun 02 17:49:54 2005 => Total Errors: 445
Thu Jun 02 17:49:54 2005 => Time Elapsed: 00:03:25
Thu Jun 02 17:49:54 2005 => Total Objects Scanned: 12914
Thu Jun 02 17:46:01 2005 => Virus Database Date: 2005/05/29
Thu Jun 02 17:49:54 2005 => Virus Database Date: 2005/05/29
Thu Jun 02 17:50:47 2005 => Virus Database Date: 2005/05/29
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

ich hab jetzt noch das "Alternativ" gemacht:
(Alternativ:
Öffne die 'mwav.log' im Ordner 'C:\Bases_X' -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.)

Also hier das Ergebnis:

ich habe nach "infected" gesucht und einen Eintrag gefunden:

Thu Jun 02 17:49:54 2005 => Total Disinfected Files: 0

ich habe nach "tagged" gesucht und keinen Eintrag gefunden!

Was mache ich falsch? Was muss ich tun um die beiden Virus die eScan gefunden hat zu löschen?
Und ab wann kann ich die Einstellung "Systemwiederherstellung deaktivieren" wieder ändern?
Bitte um Hilfe

@WAHNSINNSFRAU
Thu Jun 02 17:49:54 2005 => Total Virus(es) Found: 2
diese 2 einträge brauchen wir.
dann muss du wohl oder übel manuell suchen im logfile


Und ab wann kann ich die Einstellung "Systemwiederherstellung deaktivieren" wieder ändern?
erst dann wenn die 2 obengefundenen gelöscht sind.

chaosman

ich hab die Datei durchsucht
hab aber nur diese beiden gefunden - aber vielleicht sinds ja die:

Thu Jun 02 17:46:59 2005 => Scanning File C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20050601.024\NAVENG.SYS
Thu Jun 02 17:46:59 2005 => Scanning File C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20050601.024\NAVEX15.SYS


ACHTUNG EDIT:

oder vielleicht das?

Thu Jun 02 17:46:52 2005 => ERROR!!! Invalid Entry XM2002 = C:\Programme\IPPS\XM2002®\XM2002.exe -auto (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.

Thu Jun 02 17:46:57 2005 => ERROR!!! Invalid Entry \??\E:\INSTALL\GMSIPCI.SYS in SYSTEM\CurrentControlSet\Services\GMSIPCI...

Thu Jun 02 17:47:07 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Thu Jun 02 17:47:45 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Thu Jun 02 17:47:47 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Jun 02 17:48:39 2005 => Offending value found in HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\GAIN Publishing !!!
Thu Jun 02 17:48:39 2005 => Object "Claria Spyware/Adware" found in File System! Action Taken: No Action Taken.

??

@WAHNSINNSFRAU

deinstalliere dein spybot,
downloade Adaware http://www.lavasoft.de/

und spybot(neuer Version) http://filepony.de/download-spybot_search_destroy/

beide programme updaten.
wechsle in den abgesicherten modus und lasse beide programme nacheinander scannen.
lösche was die programme vorschlagen.
danach neu booten, systemwiederherstellung aktivieren.

chaosman

Ok ich habe mein aktuelles Adaware und Spyboot deinstalliert, neu hochgefahren und folgendes heruntergeldaden:

Ad-Aware SE Personal 1.06
Sybot Search&Destroy 1.4

nun werde ich diese entpacken, installieren und den PC im abgesicherten Modus neu starten und die beiden nacheinander suchen lassen...

So ich habe nun im abgesicherten Modus das
Ad-Aware SE Personal 1.06
Sybot Search&Destroy 1.4
suchen lassen

Bei Ad-Aware wurden 3 Sachen gefunden die ich gelöscht habe
und by Spybot 2 Probleme die ich ebenfalls gelöscht habe.

Soll ich noch irgendein Logfile posten?