Infiziert (Searchmiracle nervt) ???
 

Also erstmal Hallo!

Ich hatte vor 2 Tagen meinen Rechner neu aufgesetzt, ging mit SP1a ins Internet. Blöderweise hab ich hier nur ISDN - also hab ich mir von nem bekannten SP2 für XP ziehen lassen. Habe dann Office XP installiert. Heute kam von der XP-Firewall ne Meldung, das Spool32.exe ins Internet wollte. Ich hab im Eifer meines geschehens auf "nicht mehr blockieren" geklickt. Danach nahm ich eine "EliteBar" im InternetExplorer wahr. Wo kommt die her??? Habe BrowserplugIn von Drittanbietern unter Internetoptionen deaktiviert, weiss nicht ob das was bringt. Ich habe AdAware drüber laufen lassen und mir das Teil entfernen lassen. Jedesmal nachdem ich im Internet war, habe ich wieder 8 neue Objekte "Ebates Money Maker" auf dem Rechner.

Habe im root-Verzeichnis C:\ eine sidebDD.exe gefunden. Ich glaube ich hatte sie mal ausgeführt (wo kommt die denn nun wieder her???) und bekam die Meldung es wäre keine gültige Win32-Anwendung.

Der Internet-Explorer will jedesmal auf searchmiracle.com gehen, manchmal kommt auch eine Zeile:

res:shdoclc.dll/dnserror.htm

Ich habe in msconfig.exe gesehen, das 2x Spool32.exe und run.exe vorhanden ist. Habe sie rausgenommmen und die Prozesse gekillt, danach kommt es scheinbar nicht mehr.

Jetzt bekomme ich andauernd an unsinnigen Stellen die Meldung das irgendeine Seite die angezeigte Website schließen möchte, und ich soll es bestätigen.

Was soll das denn alles? Wie soll ich vorgehen? Ich kann nicht den ganzen Tag nach Viren und Spyware jagen.

Logfile of HijackThis v1.99.1
Scan saved at 17:34:51, on 09.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\qttasks.exe
C:\WINDOWS\realschd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\AVPersonal\INETUPD.EXE
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\DOKUME~1\BJRNKA~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [antiware] C:\windows\system32\eliteokb32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Nero] C:\WINDOWS\qttasks.exe /i
O4 - HKLM\..\Run: [TkBellExee] C:\WINDOWS\realschd.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Windows Services] Spool32.exe
O4 - HKLM\..\RunServices: [runs] run.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [runs] run.exe
O4 - HKCU\..\Run: [Windows Services] Spool32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9448592-33AA-4437-8A25-43B824B9713C}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


netstat -ab
lieferte folgendes:


Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status PID
TCP yeah-e4c8ghao5d:epmap yeah-e4c8ghao5d:0 ABH™REN 780
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ADVAPI32.dll
[svchost.exe]

TCP yeah-e4c8ghao5d:microsoft-ds yeah-e4c8ghao5d:0 ABH™REN 4
[System]

TCP yeah-e4c8ghao5d:29453 yeah-e4c8ghao5d:0 ABH™REN 1824
[Spool32.exe]

TCP yeah-e4c8ghao5d:1028 yeah-e4c8ghao5d:0 ABH™REN 1804
[alg.exe]

TCP yeah-e4c8ghao5d:netbios-ssn yeah-e4c8ghao5d:0 ABH™REN 816
-- unbekannte Komponente(n) --
[svchost.exe]

TCP yeah-e4c8ghao5d:1799 pD9FCB249.dip.t-dialin.net:microsoft-ds SYN_GESENDET 1840
[run.exe]

TCP yeah-e4c8ghao5d:1801 pD9FCD6D7.dip.t-dialin.net:microsoft-ds SYN_GESENDET 1840
[run.exe]

TCP yeah-e4c8ghao5d:1808 217.252.101.231:microsoft-ds SYN_GESENDET 1840
[run.exe]

TCP yeah-e4c8ghao5d:1809 pD9FC8665.dip.t-dialin.net:microsoft-ds SYN_GESENDET 1840
[run.exe]

TCP yeah-e4c8ghao5d:1810 pD9FC1941.dip0.t-ipconnect.de:microsoft-ds SYN_GESENDET 1840
[run.exe]

TCP yeah-e4c8ghao5d:1816 pD9FC60F8.dip0.t-ipconnect.de:microsoft-ds SYN_GESENDET 1824
[Spool32.exe]

TCP yeah-e4c8ghao5d:1817 217.252.228.121:microsoft-ds SYN_GESENDET 1824
[Spool32.exe]

TCP yeah-e4c8ghao5d:1818 pD9FC3457.dip.t-dialin.net:microsoft-ds SYN_GESENDET 1824
[Spool32.exe]

TCP yeah-e4c8ghao5d:1819 pD9FCA247.dip.t-dialin.net:microsoft-ds SYN_GESENDET 1824
[Spool32.exe]

TCP yeah-e4c8ghao5d:1820 pD9FC68D9.dip0.t-ipconnect.de:microsoft-ds SYN_GESENDET 1824
[Spool32.exe]

TCP yeah-e4c8ghao5d:1212 202.67-18-118.reverse.theplanet.com:9136 HERGESTELLT 1824
[Spool32.exe]
TCP yeah-e4c8ghao5d:1755 220.72.108.99:64444 HERGESTELLT 1840
[run.exe]

TCP yeah-e4c8ghao5d:2018 198.88.20.155:http SCHLIESSEN_WARTEN 1920
[realschd.exe]

TCP yeah-e4c8ghao5d:2951 216.115.87.51:http SCHLIESSEN_WARTEN 1884
[qttasks.exe]

UDP yeah-e4c8ghao5d:isakmp *:* 576
[lsass.exe]

UDP yeah-e4c8ghao5d:microsoft-ds *:* 4
[System]

UDP yeah-e4c8ghao5d:2141 *:* 864
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]

UDP yeah-e4c8ghao5d:2552 *:* 864
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]

UDP yeah-e4c8ghao5d:tftp *:* 1840
[run.exe]

UDP yeah-e4c8ghao5d:4500 *:* 576
[lsass.exe]

UDP yeah-e4c8ghao5d:1211 *:* 864
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]

UDP yeah-e4c8ghao5d:612 *:* 1824
[Spool32.exe]

UDP yeah-e4c8ghao5d:1900 *:* 920
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP yeah-e4c8ghao5d:1817 *:* 816
c:\windows\system32\WS2_32.dll
C:\WINDOWS\System32\SSDPAPI.dll
C:\WINDOWS\System32\upnp.dll
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\OLEAUT32.dll
C:\WINDOWS\system32\ole32.dll
[svchost.exe]

UDP yeah-e4c8ghao5d:1030 *:* 564
[services.exe]

UDP yeah-e4c8ghao5d:1029 *:* 724
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\WININET.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP yeah-e4c8ghao5d:1031 *:* 1384
[Explorer.EXE]

UDP yeah-e4c8ghao5d:ntp *:* 816
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]



und das ganze nochmal ohne Internetverbindung:
(netstat -ab)


Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status PID
TCP yeah-e4c8ghao5d:epmap 0.0.0.0:0 ABH™REN 780
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\svchost.exe
-- unbekannte Komponente(n) --
[svchost.exe]

TCP yeah-e4c8ghao5d:microsoft-ds 0.0.0.0:0 ABH™REN 4
[System]

TCP yeah-e4c8ghao5d:18350 0.0.0.0:0 ABH™REN 3696
[AVGUARD.EXE]

TCP yeah-e4c8ghao5d:2545 localhost:18350 HERGESTELLT 3772
[AVGNT.EXE]

TCP yeah-e4c8ghao5d:18350 localhost:2545 HERGESTELLT 3696
[AVGUARD.EXE]

UDP yeah-e4c8ghao5d:isakmp *:* 576
[lsass.exe]

UDP yeah-e4c8ghao5d:4500 *:* 576
[lsass.exe]

UDP yeah-e4c8ghao5d:2416 *:* 864
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]

UDP yeah-e4c8ghao5d:microsoft-ds *:* 4
[System]

UDP yeah-e4c8ghao5d:1044 *:* 864
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]

UDP yeah-e4c8ghao5d:1031 *:* 1288
[Explorer.EXE]

UDP yeah-e4c8ghao5d:1900 *:* 920
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP yeah-e4c8ghao5d:1029 *:* 732
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\WININET.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP yeah-e4c8ghao5d:ntp *:* 816
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP yeah-e4c8ghao5d:1030 *:* 564
[services.exe]

@Björn Karpenstein
Hast du Windows ohne neu zu formatieren aufgesetz?
Ich verstehe nicht, wie kann man am neuen System in 3 Tagen diese Menge Malware schnappen :confused: ?
Das Schlimmste dabei ist:
http://www.2-spyware.com/remove-bedrill-trojan.html
http://securityresponse.symantec.com...r.assasin.html
Es tut mir leid, aber du musst das Ganze von Vorne anfangen.

Unter Protest meiner Freundinn und trotz des Geburtstags meiner Mutter hab ich es endlich geschafft mich ab und zu in mein Zimmer zu schleichen um alles neu zu installieren.

Habe folgendes gemacht:

1.) Win XP SP1a installiert
2.) SP2 installiert
3.) Grafikkartentreiber installiert
4.) AdAware installiert
5.) Internetzgang eingerichtet
6.) Sofort Windows-Update (ISDN suckt - schade das es hier kein DSL gibt)
7.) Neustes AntiVir mit neuen Virendefinitionen
8.) AdAware durchlaufen lassen
9.) Grafikkartentreiber installiert
10.) JDK 5.0 installiert
11.) Office XP installiert
12.) Eclipse 3.0.1 installiert

So und jetzt folgender Bericht von Hijack - ist der okay???

@Björn Karpenstein
schließe mich Rene-gad an.
ohne neuaufsetzen wird es nicht gehen
hier eine anleitung http://www.trojaner-board.de/showpos...28&postcount=2

DateienZurückspielenNachInfektion
Du solltest die Dateien, die Du benötigst auf eine CD (RW) brennen und nachdem Du Dein System neu installiert und die '10-Punkte-Liste' abgearbeitet hast mit einem Virenscanner scannen. Da Du eScan schon hast, solltest Du die heruntergeladene Datei mwav.exe auf jeden Fall ebenfalls sichern und auf bekanntem Wege auf dem neuen System 'installieren' und aktualisieren. Danach scannst Du mit eScan die komplette CD, bevor Du auch nur eine einzige Datei auf den Rechner zurück kopierst. Wenn eScan auf der CD keine infizierte Datei findet, kannst Du einigermaßen(1) sicher sein, dass die CD sauber ist.
Findet eScan etwas auf der CD, diese Datei(en) auf keinen Fall auf den Rechner kopieren.
ZitatLutz

chaosman

Whoops jetzt wurd ich von den Geburtstagsgästen in Schach gehalten - also hier der Bericht (sollte eigentlich ans letzte dran) : ;) :headbang:

Das hier nach der Neuinstallation - ist hoffentlich okay. Was kann ich noch tun???

Vielen Dank !

Logfile of HijackThis v1.99.1
Scan saved at 22:55:46, on 09.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Björn Karpenstein\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1110396897252
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Das Log-File sieht sauber aus.
Les dir insbesondere die Links unter "Lesenswerte Lektüre für die Zukunft" durch.