Hallo!

Ich bin neu hier im Forum.

Seit einigen Tagen werde ich beim googeln immer auf andere, seltsame Seiten wie Emule oder Ähnliches weitergeleitet.

Ich hab mal mit dem Programm HijackThis einen Log gemacht, kann damit aber leider nichts anfangen. Könnt ihr mir weiterhelfen?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:53:17, on 26.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Razer\Copperhead\razerhid.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Thorsten\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe /boot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Copperhead] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B138D29A-1B98-4118-A987-21DF436106AC}: NameServer = 85.255.114.101,85.255.112.74
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.101 85.255.112.74
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.101 85.255.112.74
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5070 bytes

Hallo Teibei,

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{B138D29A-1B98-4118-A987-21DF436106AC}: NameServer = 85.255.114.101,85.255.112.74
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.101 85.255.112.74
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.101 85.255.112.74

Kommst Du aus der Ukraine oder hat dein Provider da seinen Sitz? Du hast eine Umleitung auf einen Nameserver dort und die hast Du sicher nicht selber eingerichtet nehme ich mal an.

Du hast dir einen sogenannten DNS- Changer eingefangen. Man kann versuchen, das wieder umzubiegen.

Ich würde allerdings bei diesem Befund sofort einen sauberen Schnitt machen und das System neu Aufsetzen: http://www.trojaner-board.de/51262-a...sicherung.html

Aber das ist nur meine Meinung, Du kannst natürlich auch Andere abwarten.

Gruß

Jaipur

Ich kann aus Erfahrung sagen, dass das Umbiegen möglich ist, aber warten wir mal die Entscheidung ab...

Also ich habe den Log noch in einem anderen Forum gepostet und die kamen auf das gleiche Ergebnis. Habe mich heutre Nachmittag schon dazu entschieden, C zu formatieren, das habe ich jetzt auch gemacht und der 017 taucht beim scan nicht mehr auf.

Was genau hat es denn mit der Ukraine auf sich? Welches Ziel verfolgen die dort nach und was hätte passieren können?

Wie schütze ich mich ion Zukunft vor sowas und wie kommen die an mich? Über bestimmte Seiten oder wodurch?
Ich habe ZomaAlarm und Antivir drauf. Reicht das?

Gruß

nur C zu formatieren würd wahrscheinlich das größte wegpusten, doch ich würd auf Nummer sicher gehen und nochmal ein HJT posten und Malwarebytes und SUPERAntiSpyware drüber laufen lassen.


Zum Schützen:
Am besten schützt man sich wenn man seinen gesunden Menschenverstand einsetzt => brain.exe
Zone Alarm würd ihc deinstallieren und die Windows Firewall nehmen.

Wenn du online Banking machst, könnte es im schlimmsten Fall passieren, das die Burschen dort dir dein Konto leerräumen. Vieleierlei ist möglich, Fakt ist das jemand anders Kontrolle über deinen PC hat und sämtliche deiner Passwortabfrgaen, z.B. Ebay, Online Banking...und was weiss ich noch in die Hand bekommt. Dieser Trojaner ist ziemlich übel, da er von einem Rootkit abgedeckt wird. Er ist somit von AV Programmen nicht erkennbar. Fällt jedoch die Tarnung, ist der Virus auch erkennbar und angreifbar.