Viren: Moniker32 , Startpage.gv und hijacker

christian37

So, also nachdem ich die letzten Tage kaum was anderes gemacht habe, als mich mit Viren und Antispyware zu beschäftigen und mein Problem immer noch da ist, poste ich das mal hier:

Ich hab mich rumgetrieben und mir irgendwo diverse Viren, Spyware, Hijacker, CoolWebSearch usw. eingefangen.

Nahezu alles ist mittlerweile gelöscht, aber ein hartnäckiges Problem will einfach nicht verschwinden...

Wenn ich eine Seite besuche, die so aussieht:
http://www.irgendwas.de/redirect.php

dann werde ich weitergeleitet auf:

h**p://63.219.181.7/connect.php?did=od-teen270&secret=1

oder

h**p://66.230.167.104/sout.php?fc=40

VORSICHT, die Dinger sind saugefährlich !!!!
Es werden Dialer, Viren, Trojaner, CWS installiert.

Meine PC-Daten:
Windows 98 mit Updates
IE 6.0. mit Update: SP1, Q837009, Q832894, q313829
Update für Java VM ebenfalls durchgeführt

Programme:
Antivir neueste Version und Update vom 12.05.04
Spywareprogramme ebenfalls mit neuestem Update:
Ad-aware 6.181.
Spybot
CWS-shredder
a²
hijack this 1.97.7

Nachdem das Antivirenprogramm anfangs einige Viren (aber längst nicht alle) gefunden und entfernt hat (die Viren in Archiven in den Temporary Internet Files, für dessen Löschung Antivir zu blöd war, habe ich durch Löschung aller Temporary Internet Files manuell entfernt)
zeigt es aktuell keinen Virenbefall an.
Ad-aware hatte einige hijacker (u. anderes) gefunden, was mit CWS-shredder (und ad-aware) entfernt wurde.
Wenn man jedoch auf obige gefährliche Links weitergeleitet wird, wird teilweise wieder so was installiert neben Dialern, Viren...
Mit Spybot habe ich auch einiges gefunden und gelöscht. a² (hab ich immer als letztes gemacht) hat noch nie was gefunden.

Beim hijack this Logfile war ich anfangs ängstlich, was zu löschen. Mittlerweile hab ich dort soviel gelöscht, so dass der verbliebene File relativ nackt ausssieht:


Logfile of HijackThis v1.97.7
Scan saved at 12:49:44, on 13.05.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\HIJACK\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/advanced_search?hl=de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] c:\logitech\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O9 - Extra button: All (HKLM)
O9 - Extra 'Tools' menuitem: Close ALL IEx's (HKLM)
O9 - Extra button: Others (HKLM)
O9 - Extra 'Tools' menuitem: Close OTHER IEx's (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...120.0976967593

Anmerkung: Die Einträge unter O9 sind ein Zusatzprogramm zum IE, mit dem man alle Fenster mit einem Klick schließen kann. Das Programm benutze ich seit ca. 1 Jahr und es ist sicher nicht für das aktuelle seit 3 Tagen bestehende Problem verantwortlich.

Nachdem ich viel gelesen habe, habe ich auch mal die IP-Adresse von dem ersten der gefährlichen Links bei google suchen lassen:
63.219.181.7

Dabei stößt man immer wieder auf den Reg-Schlüssel:
CLSID: 02C20140-76F8-4763-83D5-B660107B7A90
Der auf den Virus Moniker32 class hinweist.

Ich hatte diese Schlüssel auch auf der Platte und habe alle Einträge mittels regedit gelöscht.
(mit regedit kenne ich mich mittlerweile auch ein wenig aus)

Wichtig: Das Problem war schon mehrmals temporär gelöst (nachdem ich diverse Einträge im hijack Log file gelöscht habe). Nach ein paar Stunden trat das Problem (die ZwangsWeiterleitung auf die obigen gefährlichen Links aber wieder auf). Ich denke, es bringt nichts, noch mehr im hijack Log file zu löschen, da der Ursprungsvirus sich immer wieder in einen laufenden Prozess einschleicht und dann die Weiterleitung verursacht. Genau diesen „Ursprungsvirus“ muss ich finden und entfernen.

Obwohl ich gestern mit sauberem PC ins Bett ging, wurde ich heute morgen, beim Start ins Internet mit der Meldung von Antivir begrüsst:
Die Datei NHIKAA.dll enthält den Code des Virus:
TR/Startpage.gv
(Antivir konnte den Virus löschen und zeigt jetzt keinen weiteren Befall an, aber das Ursprungsproblem – die Weiterleitung – besteht immer noch)

Noch was:
Bei einer Antivirenprüfung bekomme ich immer wieder die Meldung:
C:\WINDOWS\SYSTEM
IMAGEHLP.DLL
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
WARNUNG! Zugriffsfehler/Datei gesperrt!

IMAGEHLP.DLL kann ich aber nicht so einfach löschen, denn die ist doch notwendig ?
Sollte ich die mal austauschen ? Wenn ja wie und wo ? Mit was kann ich die mal scannen ?

Zum Abschluss noch mal mein momentaner Status: Alle Programme zeigen keinen Befall an, aber die Weiterleitung auf die gefährlichen Seiten besteht nach wie vor.
Damit ich durch die Weiterleitung nicht permanent mit Viren Trojanern und hijackern bombadiert werde, habe ich im IE unter Extras – Internetoptionen – Sicherheit – Eingeschränkte Sites die beiden Seiten eingetragen und dafür die Sicherheitseinstellungen auf Maximum gesetzt.

Wenns geht, möchte ich den PC nicht neuinstallieren und außerdem den Browser beibehalten. (unter Opera tritt das Problem übrigens nicht auf)

Danke für Hilfe

[ 13. Mai 2004, 14:45: Beitrag editiert von: christian37 ]