Trojaner-Board - Firefox arbeitet selbständig

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Firefox arbeitet selbständig (https://www.trojaner-board.de/27948-firefox-arbeitet-selbstaendig.html)

Firefox arbeitet selbständig

Ich habe folgendes Problem:

Firefox öffnet selbständig irgendwelche Seiten !
z.B.

hxxp://xxx.buyer-shabit.com/normal/yyy65.html
hxxp://xxx.ecommerc-e.com/normal/yyy65.html
hxxp://xxx.dealiotoday.com/normal/yyy102.html

Hier ist meine Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:11:29, on 29.03.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\System32\Launcher.exe
C:\windows\mousepad6.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\GEMEIN~1\rkki\rkkim.exe
C:\WINDOWS\System32\CROSOF~1\netdde.exe
C:\Dokumente und Einstellungen\xxx\Eigene Dateien\?ymbols\m?dtc.exe
C:\WINDOWS\MSmedia.exe
C:\WINDOWS\system32\hostserv.exe
C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\notepad.exe
H:\Downloads\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/?.home=ytie
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/?.home=ytie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [PrimaLauncher] C:\WINDOWS\System32\Launcher.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard6.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad6.exe
O4 - HKLM\..\Run: [newname] C:\windows\newname6.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [rkki] C:\PROGRA~1\GEMEIN~1\rkki\rkkim.exe
O4 - HKCU\..\Run: [Aatm] "C:\WINDOWS\System32\CROSOF~1\netdde.exe" -vt yazr
O4 - HKCU\..\Run: [Ectu] C:\Dokumente und Einstellungen\Markus\Eigene Dateien\?ymbols\m?dtc.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{26AB9AE9-5271-4F27-8B0B-72B2DD48D229}: NameServer = 217.237.150.33 217.237.151.161
O17 - HKLM\System\CCS\Services\Tcpip\..\{5DA1FCFB-0894-4494-8DE3-8D52BB18CA25}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{B91E1AC0-2118-45B4-A5F9-BD2CDE6BF0F2}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{26AB9AE9-5271-4F27-8B0B-72B2DD48D229}: NameServer = 217.237.150.33 217.237.151.161
O17 - HKLM\System\CS2\Services\Tcpip\..\{26AB9AE9-5271-4F27-8B0B-72B2DD48D229}: NameServer = 217.237.150.33 217.237.151.161
O20 - Winlogon Notify: dvd4free - C:\WINDOWS\SYSTEM32\dvd4free.dll
O20 - Winlogon Notify: URL - C:\WINDOWS\system32\lvnu0959e.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWFya3VzIEZleQ\command.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe
O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\system32\hostserv.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

kuck ma ob du irgendein Prog auf dem rechner hast das -Zango- im Namen trägt, zB ZangoWebsearch etc

Mit Zango habe ich nichts gefunden aber was sind das für Dateien

drsmartload1
drsmartload46a
DR140306
PPCleanDeleteAtReboot

????

Hallo Ma25Fe,
das ist der Grund für deine völlig versaute Kiste :
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Bei dir drängelt sich so ziemlich alles was übel und böse ist.Das beginnt bei Hijackerngeht über Look2me-Infektion bis hin zur Fremdsteuerung.Das hier ist jetzt der Chef auf deiner Kiste :
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWFya3VzIEZleQ\command.exe
Nimm die Mühle vom Netz,besorg dir SP2 und setze neu auf nach der Anleitung hier auf der Startseite unter "Anleitungen,FAQ,Links"
Irrlicht

Erst einmal Danke für eure Hilfe !

Gibt es noch eine Möglichkeit die Kiste ohne Neuinstallation zu säubern ?????

Hallo Ma25Fe,

ein klares NEIN!
In Deinem System sind min. 2 Backdoors aktiv.

dartus

Ich habe jetzt Windows neu installiert !

hier ist der neue Logfile

Logfile of HijackThis v1.99.1
Scan saved at 18:37:51, on 31.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
H:\Downloads\Hijackthis\HijackThis.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\2c0d6ae612bf2508e86d63ab316e1a62\update\update.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6B55DC9-F815-4A55-89C0-C34DEB9A6735}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE474FE5-9033-46C4-A9B8-3F086E00CD78}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{F126AE9C-ECD0-4ED7-9EF2-5C35B55EE21C}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: avs_on - Unknown owner - C:\Programme\DATA BECKER\Antivirus 2005\AntiVirus\avs_on.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

Ist jetzt alles sauber oder ist noch ein Virus vorhanden ?

Firefox arbeitet wieder normal !

:daumenhoc

Hallo Ma25Fe,
das ging ja recht flott bei dir.Um zukünftig solches zu vermeiden,solltest du noch diesen Link gelesen haben :
http://www.trojaner-board.de/showthread.php?t=12154
Für dich wird es ab dem Punkt intressant :
Nach dem Neuaufsetzen und vor der ersten Internetverbindung.
Klick und lese dich durch die Links,vielleicht handelst du danach.
Irrlicht