Hallo zusammen,
ich bin neu hier und habe folgendes Problem.
Ich vermute, dass „Irgendetwas“ auf dem PC ist, das dort nicht hingehört.
Leider kann ich es nicht lokalisieren und nicht entfernen.
Das Problem stellt sich wie folgt dar:
§ wenn der Willkommensbildschirm von WindowsXP erscheint, ertönen schnelle Signaltö-ne,
§ der Explorer lässt sich zwar öffnen, aber der Strukturbaum ist bereits geöffnet, zittert und ich kann keinen Ordner öffnen,
§ in jedem Eingabefeld (z. B. Browser, „Ausführen“, überall, wo etwas eingegeben werden kann) werden automatisch Sternchen (*) geschrieben.
Diese Sternchen kann man löschen und hat einige Zeit Ruhe, aber sie kommen immer wieder, spätestens mit dem neuen Hochfahren des PC’s.
Norton Antivirus 2004, Spybot, Adaware, cws-shredder, hijackthis (mit Onlineüberprüfung) bescheinigen immer einen sauberen Rechner.
Meine Fragen sind:
Was ist das?
Wie kann ich es lokalisieren?
Was kann ich dagegen tun?

Vielleicht kann mir jemand helfen.
Vielen Dank

Hallo Wassermann,

lade den eScan - gemäß der Anweisung runter und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ca 1 Stunde oder länger dauert und ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

Erstelle ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

Hallo Shadowdance,
zunächst danke für die schnelle Antwort.

Hier zunächst die von escan gefundenen Viren:

Wed Nov 17 19:06:55 2004 => Scanning Folder: C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected\*.*
Wed Nov 17 19:03:43 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Daneben wurden 4 not-a-virus Dateien gefunden, die sich auf Bearshare bzw. auf Save now bezogen.

Jetzt das LOGFILE von Hijack This:

Logfile of HijackThis v1.98.2
Scan saved at 19:50:31, on 17.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\bases\mwavscan.com
C:\bases\kavss.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ALUAlert] C:\Programme\Symantec\LiveUpdate\ALUNotify.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093095381202
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A320653-C0AB-4DB7-9B6E-8A00109ADFA7}: NameServer = 217.237.150.97,217.237.149.161

Ich hoffe, ich habe es richtig gemacht.

Heute habe ich den Störenfried mal wieder nicht bemerkt. Na ja.

Bis dann
Wassermann

Fixe dies:

R3 - Default URLSearchHook is missing
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/...bin/AvSniff.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...b?1093095381202
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab


SP2 installieren!

Hallo Christian,
vielen Dank für die Unterstützung.
Ich habe die angegebenen Dateien gefixt.
Leider ohne Erfolg.

Wassermann

Hallo Wassermann,

update den eScan (Anleitung) online, lass ihn nochmal im abgesicherten Modus auf Deinem Rechner laufen. "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Teile uns bitte das gesamte Ergebnis des eScan mit: welche Malware wurde auf Deinem Rechner gefunden.

SD

Hallo Shadowdance,

ich bin leider erst jetzt wieder dazu gekommen, mich mit dem PC zu beschäftigen.

Hier das Ergebnis des eScan's:

Fri Dec 17 13:34:31 2004 => File C:\Dokumente und Einstellungen\Familie\Eigene Dateien\Downloads\BSINSTALLDE.exe tagged as not-a-virus:AdWare.SaveNow.z. No Action Taken.

Fri Dec 17 13:37:05 2004 => File C:\Programme\BearShare\Installer\BSINSTALLDE.exe tagged as not-a-virus:AdWare.SaveNow.z. No Action Taken.

Fri Dec 17 13:47:39 2004 => File C:\Programme\Norton AntiVirus\Quarantine\4802362B tagged as not-a-virus:AdWare.SaveNow.z. No Action Taken.

Fri Dec 17 13:52:54 2004 => File C:\System Volume Information\_restore{7489A1A4-7AA3-4FF3-9069-9E0EABB34602}\RP3\A0008549.exe tagged as not-a-virus:AdWare.SaveNow.z. No Action Taken.

Fri Dec 17 13:55:50 2004 => File C:\System Volume Information\_restore{7489A1A4-7AA3-4FF3-9069-9E0EABB34602}\RP3\A0009561.exe tagged as not-a-virus:AdWare.SaveNow.z. No Action Taken.

Fri Dec 17 13:32:49 2004 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip is Not Scanned

Fri Dec 17 13:32:49 2004 => C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip not Scanned. Possibly password protected...

Fri Dec 17 13:32:49 2004 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip is Not Scanned

Fri Dec 17 13:32:49 2004 => C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip not Scanned. Possibly password protected...

Fri Dec 17 13:55:36 2004 => C:\System Volume Information\_restore{7489A1A4-7AA3-4FF3-9069-9E0EABB34602}\RP3\A0009487.exe not Scanned. Possibly password protected...

Fri Dec 17 13:55:36 2004 => Result: ERROR!!! File C:\System Volume Information\_restore{7489A1A4-7AA3-4FF3-9069-9E0EABB34602}\RP3\A0009487.exe is Not Scanned

Hinzu kommen noch einige weitere Files "not scanned" bei spybot.

Fri Dec 17 14:25:26 2004 => Total Files Scanned: 27938
Fri Dec 17 14:25:26 2004 => Total Virus(es) Found: 5
Fri Dec 17 14:25:26 2004 => Total Disinfected Files: 0
Fri Dec 17 14:25:26 2004 => Total Files Renamed: 0
Fri Dec 17 14:25:26 2004 => Total Deleted Files: 0
Fri Dec 17 14:25:26 2004 => Total Errors: 35
Fri Dec 17 14:25:26 2004 => Time Elapsed: 00:55:00
Fri Dec 17 14:25:26 2004 => Virus Database Date: 2004/11/17
Fri Dec 17 14:25:26 2004 => Virus Database Count: 109753

HijackThis habe ich nochmals ausgeführt. Hier das Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 13:04:06, on 17.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Familie\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\Familie\LOKALE~1\Temp\delus.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A320653-C0AB-4DB7-9B6E-8A00109ADFA7}: NameServer = 217.237.150.97,217.237.149.161
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Wassermann

@ Wassermann

lade das ClearProg runter, leere damit die Ordner TEMP (C:\DOKUME~1\Familie\LOKALE~1\Temp), Temporary Internet Files, Cookies und den Verlauf.

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com

Dein Logfile sieht sauber aus. Du solltest Dir noch Ad-aware runterladen, Deinen Rechner damit scannen und die bestehenden Probleme beheben lassen, ausserdem verwendest Du mit dem IE einen Browser, der das Sicherheitsrisiko stark erhöht.

Pflichtlektüre:

- Vorbeugende Maßnahmen
- IE sicher konfigurieren und Browser-Sicherheit
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- Entfernung von Schädlingen und Kompromittierung unvermeidbar?
- faq.underflow.de
- Hijacker-Entfernung

SD

Hallo Shadowdance,

ich werde zunächst mal Deine Tips abarbeiten, insbesondere das aktuelle Service Pack herunterladen.

Seit ein paar Wochen benutze ich allerdings als Internetbrowser den Firefox 1.0. Den IE hatte ich über die Systemsteuerung > Software gelöscht. Dennoch wird er im Logfile von HijackThis angeführt. Im WindowsExplorer gibt es den Ordner IE aber noch. Z. Zt. bekomme ich ihn nicht gelöscht, da angeblich irgendwelche andere Programme diesen benutzen. Diese Programme finde ich jedoch nicht. Hast Du hierzu auch einen Tip?

Wassermann

@ Wassermann,

eigentlich sollte man den IE nicht löschen sondern nur nicht, bzw. nur für die Windows Updates verwenden. Es dürfte sich al sehr schwer und schwierig erweisen, den IE aus Windows zu entfernen, da er im System vernetzt ist. Es gibt ein Programm, um den IE zu entfernen, das muss ich aber erst suchen.

SD

Hallo Shadowdance,

vielen Dank für Deine bisherige Hilfe.

Dir, allen, die versucht haben mir zu helfen, aber auch allen am Forum Beteiligten wünsche ich ein gutes und virenfreies Jahr 2005.

Wassermann