Trojaner-Board - about.blank-startseite

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - about.blank-startseite (https://www.trojaner-board.de/12450-about-blank-startseite.html)

about.blank-startseite

hallo, ich bin neu hier und erhoffe mir eine große hilfe von euch. ich bin mit dem pc nicht sehr förm. nur das nötigste.
habe gelesen, dass schon einige das problem haben oder hatten mit der startseite about-blank, die sich automatisch immer wieder aufmacht und warnt etc.
hab mir diesen virus wohl auch eingefangen. :headbang:

bitte um hilfe, wie ich weiter fortfahren soll.
danke schon mal

bine

hm...
erstelle ein hijackthis log so wie es in dieser Anleitung steht und poste dann das log hier.

danke für die schnelle antwort.
habe dies schon versucht, aber es geht irgendwie nicht. es kommt:"dowenload bei chip verweigert"
kann ich dies auch anders machen?
bine

Zitat:

habe dies schon versucht, aber es geht irgendwie nicht. es kommt:"dowenload bei chip verweigert"
kann ich dies auch anders machen?

Eigeninitiative zeigen und durch eine Suchmaschine deiner Wahl einen alternativen Downloadlink suchen!

btw: der Download bei chip.de funktioniert, man muss eben den "Lowspeed-Download" wählen.

Logfile of HijackThis v1.99.0
Scan saved at 23:40:50, on 19.01.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\WINDOWS\HAMPANEL.EXE
C:\WINDOWS\MHOTKEY.EXE
C:\WINDOWS\SYSTEM\HPZTSB08.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SHICOME.EXE
C:\PROGRAMME\TCM COMBO SET\PS2USBKBDDRV.EXE
C:\PROGRAMME\TCM COMBO SET\MOUSEDRV.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\SCANPANEL\SCNPANEL.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TEMP\TD_0001.DIR\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {D350341F-F2CD-4B5D-A402-A36FEDBF7670} - C:\WINDOWS\SYSTEM\COENOF.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [HaMFrontPanel] C:\WINDOWS\hampanel /B:Software\Ambient\HaM
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb08.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe C:\PROGRA~1\WILDTA~1\APPS\CDA\CDAENG~1.DLL,cdaEngineMain
O4 - HKLM\..\Run: [OTIREADER] C:\PROGRAMME\CARDREADER2.0\OTIREADER.EXE
O4 - HKLM\..\Run: [shicome] C:\WINDOWS\shicome.exe
O4 - HKLM\..\Run: [TCMKeyboard ] C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .png: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O18 - Filter: text/html - {A88DF434-5E38-44A2-BA58-D6D558766099} - C:\WINDOWS\SYSTEM\COENOF.DLL
O18 - Filter: text/plain - {A88DF434-5E38-44A2-BA58-D6D558766099} - C:\WINDOWS\SYSTEM\COENOF.DLL

das ist mein ergebnis vom log-file. hoffe auf positive antwort und hilfe.
bine

ahja.. trojaner-downloader drauf

1.escan
-lade dir escan runter und gehe genau nach dieser anleitung vor

2.einträge löschen
-fixe mit hijackthis diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
O2 - BHO: (no name) - {D350341F-F2CD-4B5D-A402-A36FEDBF7670} - C:\WINDOWS\SYSTEM\COENOF.DLL
O18 - Filter: text/html - {A88DF434-5E38-44A2-BA58-D6D558766099} - C:\WINDOWS\SYSTEM\COENOF.DLL
O18 - Filter: text/plain - {A88DF434-5E38-44A2-BA58-D6D558766099} - C:\WINDOWS\SYSTEM\COENOF.DLL

3.dateien löschen
-lösche die datei coenof.dll im ordner c:\windows\system
-lösche natürlich alle von escan beanstandeten dateien

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues hijackthis log

danke für deine antwort.
weiß nicht, ob ich das heut noch hinkriege. ansonsten morgen.
poste dann spätestens morgen wieder.

hoffentlich klappt alles so.
bin voll der "profi" :heulen:

gutes nächtle
bine

HI,

"alle von escan beanstandeten Dateien löschen" ?
Sind es nicht eher die, welche als "infected" identifizierten?

das meine ich doch damit.. ich sag nur beanstandeten dateien meine aber alle infected dateien. und die infected dateien werden ja von escan beanstandet ;)

sorry, hab doch noch ne frage:

ich soll unter 2. einträge löschen. was heißt "fixe" mit hijackthis diese einträge....
nehme an löschen? wenn ja, wo? im explorer unter den einzelnen laufwerken?

schäme mich fast die doofen fragen zu stellen, aber ich hab wie gesagt null ahnung und keinen fachmann bei der hand

bine

Hier hast du eine ganz ausführliche Anleitung:

http://www.trojaner-board.de/51130-a...bedeutet_FIXEN

Das solltest du auch noch fixen bzw. vorher mal schauen, ob du es unter Software deinstallieren kannst:

O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe C:\PROGRA~1\WILDTA~1\APPS\CDA\CDAENG~1.DLL,cdaEngi neMain

Vor dem Fixen die Systemwiederherstellung deaktivieren und das Fixen im abgesicherten Modus vornehmen:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm

Dann normal booten und die Wiederherstellung wieder aktivieren.

habe gestern nacht noch ca. 1 1/2 std. das escan laufen lassen. er hat mir 2 sachen angezeigt, u.a. die datei, die mir schon bekannt war. diese läßt sich aber leider im explorer verzeichnis nicht finden und demzufolge löschen.

C:\Windows\TEMP\sp.dll infected by "Bkcln.Unknown" Virus. Action Taken:No Action Taken.

kann dies wie gesagt nicht im verzeichnis finden. wie kann ich dann weiter vorgehen?

die andere gefundene datei war ein photoline-programm. das brauche ich eh nicht und habe es komplett gelöscht.

wäre schön, wenn mir einer einen tipp gibt.

gruß bine

Hi,
Versteckte Dateien :
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

dann solltest Du die Datei eigentlich finden

http://www.cosgan.net/images/smilie/sportlich/p035.gif

Gruß Gigamail

hallo, habe eben nach dem löschen der dateien wieder einen hijackthis log gemacht. hier das ergebnis:

Logfile of HijackThis v1.99.0
Scan saved at 20:09:04, on 20.01.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\HAMPANEL.EXE
C:\WINDOWS\MHOTKEY.EXE
C:\WINDOWS\SYSTEM\HPZTSB08.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\TCM COMBO SET\PS2USBKBDDRV.EXE
C:\PROGRAMME\TCM COMBO SET\MOUSEDRV.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\SCANPANEL\SCNPANEL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\TEMP\TD_0001.DIR\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {D350341F-F2CD-4B5D-A402-A36FEDBF7670} - C:\WINDOWS\SYSTEM\COENOF.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HaMFrontPanel] C:\WINDOWS\hampanel /B:Software\Ambient\HaM
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb08.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe C:\PROGRA~1\WILDTA~1\APPS\CDA\CDAENG~1.DLL,cdaEngineMain
O4 - HKLM\..\Run: [TCMKeyboard ] C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .png: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O18 - Filter: text/html - {A88DF434-5E38-44A2-BA58-D6D558766099} - C:\WINDOWS\SYSTEM\COENOF.DLL
O18 - Filter: text/plain - {A88DF434-5E38-44A2-BA58-D6D558766099} - C:\WINDOWS\SYSTEM\COENOF.DLL

hoffe, es hat was gebracht. :dummguck:
bis bald
bine

habe grad mal internet neu geöffnet und google als startseite eingegeben. juhu. er hat es nciht wieder auf about.blank abgeändert.

sieht so aus, wie wenn es wieder geht.

wie kann ich die garantie aber vollständig haben?

bine

Misch mich kurz ein:
Was ist bitte ein TCMCombo-Set? Ist das was von tchibo?
Bkcln.Unknown kommt aus Tschechien; ist in fast jeder eMail von da.
cacatoa

@cacatoa TCMCombo-Set gehört zu Maus und Tastaturprogrammen. Manche Hersteller geben CDs mit, auf denen solche Programme sind, die dann die "web-funktionen" der tastatur aktivieren (bspw auf www drücken und es öffnet sich der browser)
@bine das sicherheitsrisiko wieder so einen trojaner zu bekommen, geht mehr durch den IE. verwende einen anderen browser wie firefox oder opera und verwende den IE nurnoch für windowsupdates, die du alle 3wochen überprüfen solltest, da man nie weiß ob es ein neues sicherheitsloch gibt.

@ chris
Danke für die Info; aber zu welchen Programmen? Ich möchte es wissen, weil die "mousedrv.exe" ein Hinweis auf den Troj/Crypter-C ist (sophos).
Außerdem hat sie einige Einträge, die überprüft gehören und drei, die gefixt werden sollten.
cacatoa

wie ich schon schrieb, habe ich wenig ahnung.

deshalb noch mal zur verdeutlichung. mit IE meinst du den internet explorer. d.h. ich soll mir einen anderen browser installieren, über den ich im internet surfe, chatte etc. und da schlägst du firefox oder opera vor.

ich vermute aber, dass der trojaner über musikladen mit auf den pc kam. werde ich die finger in zukunft von lassen.

übrigens habe ich von tchibo eine tastatur und maus. dies zu der anfrage von cacatoa.

bye bine

und nochmal tausend dank für die schnelle und tolle hilfe :D

ich hatte mal die gleiche tastatur deshalb weiß ichs. is zwar ne weile her, aber das war mal so ein paket. das war ein paket rundum mit treiber für maus und für tastatur drin (natürlich auch die beiden dinger selbst drin)
allerdings macht mich etwas stuzig am log..

moment mal!
lass mal die dateien PS2USBKBDDRV.EXE und MOUSEDRV.EXE im ordner C:\PROGRAMME\TCM COMBO SET\ bei http://virusscan.jotti.org/de überprüfen. ich bin mir nun nicht mehr so sicher..
es wäre möglich das wir es wie cacatoa erwähnt hat, wir es mit dem crypter-c zutun haben..

@ bine
Danke für die Info.
Ich denke mal, chris wird dich gut weiterführen.
cacatoa

hallo chris, habe beide dateien durch den scan gejagt.

bringt beide male no viruses found bei allen virenprogrammen.

nur bei statistik ist bei einigen scannern unter maleware eine bezeichnung und kein rotes kreuz. brauchst du die im detail?

bine

Mich hat es auch erwischt und mein ganzer Urlaubstag is dabei drauf gegangen. Habe alle scans probiert und bekomme about blank nicht weg.
Wer kannn helfen ?

plz neuer thread @newgucci

ich bin schonmal durcheinander gekommen, weil 3verschiedene leute im gleichen thread gepostet haben.

@bine
ja, ich brauch mehr daten über die malware.

achja cacatoa hat mich auf noch was hingewiesen:
nämlich auf die einträge
O2 - BHO: (no name) - {D350341F-F2CD-4B5D-A402-A36FEDBF7670} - C:\WINDOWS\SYSTEM\COENOF.DLL (file missing)
O18 - Filter: text/html - {A88DF434-5E38-44A2-BA58-D6D558766099} - C:\WINDOWS\SYSTEM\COENOF.DLL
O18 - Filter: text/plain - {A88DF434-5E38-44A2-BA58-D6D558766099} - C:\WINDOWS\SYSTEM\COENOF.DLL
ich nahm an das die datei bereits gelöscht sei, aber hijackthis weiß net was es nun sagen will.
lass diese datei am besten auch gleich bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis und lösche sie im abgesicherten modus anschließend.

....schuldigt, aber bin neu hier....

und das mein logfile...

Logfile of HijackThis v1.99.0
Scan saved at 21:24:14, on 20.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\csrss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\LEXBCES.EXE
D:\WINNT\system32\spoolsv.exe
D:\WINNT\system32\LEXPPS.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\Programme\Norton Internet Security\NISUM.EXE
D:\Programme\Norton Internet Security\ccPxySvc.exe
D:\WINNT\System32\svchost.exe
D:\PROGRA~1\Iomega\System32\AppServices.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
D:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
D:\WINNT\TBPanel.exe
D:\WINNT\mHotkey.exe
D:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
D:\Programme\Iomega\DriveIcons\ImgIcon.exe
D:\Programme\Logitech\ImageStudio\LogiTray.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Lexmark X1100 Series\lxbkbmon.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
D:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
D:\WINNT\system32\cdplayer.exe
D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
D:\Programme\Digital Image\Monitor.exe
D:\Programme\T-Online\T-Online_Software_5\Browser\browser.exe
D:\PROGRA~1\T-Online\ISDNSP~1\TOMCAT.EXE
D:\Dokumente und Einstellungen\ak\Eigene Dateien\mwav.exe
D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
D:\PROGRA~1\WinZip\winzip32.exe
D:\DOKUME~1\ak\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINNT\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINNT\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINNT\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINNT\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINNT\system32\mcicdb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINNT\system32\mcicdb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {28F4EDF7-C99A-40B4-BAB4-28CAEC2F2F42} - D:\WINNT\system32\mcicdb.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - D:\WINNT\system32\iecust.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LWBMOUSE] D:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [Gainward] D:\WINNT\TBPanel.exe /A
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [LVCOMS] D:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [Iomega Drive Icons] D:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] D:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [LogitechGalleryRepair] D:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] D:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Lexmark X1100 Series] "D:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ToADiMon.exe] D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] D:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [DeluxeCD] D:\WINNT\system32\cdplayer.exe -tray
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Digital Image Monitor.lnk = D:\Programme\Digital Image\Monitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINNT\system32\Shdocvw.dll
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://69.50.166.214/counter/new/x.chm::/update.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{560049EC-DA69-45C1-9A01-940EA4177907}: NameServer = 69.50.188.180 195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB733721-657F-4821-B54F-3DFE2CD20CC6}: NameServer = 69.50.188.180,195.225.176.31
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - D:\Programme\Haufe\HaufeReader\HRInstmon.dll
O18 - Filter: text/html - {F7B1DC3E-DE0A-48F8-8D38-7703A995B04A} - D:\WINNT\system32\mcicdb.dll
O18 - Filter: text/plain - {F7B1DC3E-DE0A-48F8-8D38-7703A995B04A} - D:\WINNT\system32\mcicdb.dll
O23 - Service: Symantec Event Manager - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service - Symantec Corporation - D:\Programme\Norton Internet Security\ccPxySvc.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - D:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: Iomega App Services - Iomega Corporation - D:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - D:\WINNT\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - D:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager - Symantec Corporation - D:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service - Symantec Corporation - D:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

macht nix :) @newgucci jeder macht fehler. wird hald nur zu unübersichtlich wenn mehrere logs in einem thread sind ;)

~edit~ ne oder? ich schrieb doch gerade "neuer thread" heißt also nicht hier rein posten.
aber egal.
@alleanderenmitdiesemproblem postet in einen anderen thread bitte^^

dann fangen wir mal an auszuwerten..
ich sehe da was recht bedenkliches..
es gibt wenn ich mich nicht irre seid win2000 keine cdplayer.exe im windows-verzeichnis mehr, diese wurde doch wenn ich mich wieder nicht irre bereits durch den media player ersetzt.
lass also bitte die datei cdplayer.exe im ordner c:\windows\system32 bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis.
ich hab die ahnung, dass das was recht gefährliches ist..

chris, hier die maleware:

1. PSSSS2USBKBDDRV.EXE

BitDefender: Backdoor.SDBot.E4FECCE6
Dr. Web: Win32.HLLW.ForBot.based
Kaspersky: Backdoor.Win32.SdBot.gen

2. MOUSEDRV.EXE

BitDefender: Backdoor.Agobot.3.FE730A1C
NOD32: probably unknown NewHeur_PE
Norman: Sandbox:W32/Gaobot.gen

hoffe, du kannst was damit anfangen

bine

puh.. da haben wir alle aber verdammtes glück gehabt das cacatoa das gepostet hat.
ich bin der file auf dem leim gegangen. so geschickt wie dieser wurm ist, schafft er es doch eine perfekte nachbildung eines tchibotastaturtreibers zu werden und so den normalen user reinzulegen.

leider hilft da nur eine neuinstallation
beachte auch cidre's rat!
der backdoor ist sehr gefährlich und offensichtlich auch sehr raffiniert.

boh ne
nicht dein ernst :heulen:

aber wieso geht wieder alles normal????

meinst du alles neu installieren oder nur das tchibogeraffel???

bin am boden zerstört, scheiß zeug

bine

Hallo, ich fürchte das ich auch so ein Problem habe.
Ständig öffnen sich neue Fenster "Only the best search" oder dergleichen.
Wenn ich den IE neu öffne, meldet Antivir Trojaner, z. B. "Deafeat".
Aber mit Antivir, Ad aware, CW Shredder, Spybot und Reg Supreme bekomme ich das Problem einfach nicht in den griff.

Kann jemand helfen?

Mein Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 21:43:19, on 20.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Pinnacle\PCTV Stereo\Remote\Remoterm.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Andre\Eigene Dateien\downloads\Sicherheit\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dyrjv.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dyrjv.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\dyrjv.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dyrjv.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dyrjv.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dyrjv.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dyrjv.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {B0368787-BE40-E5AC-3D33-11D0130B1D10} - C:\WINDOWS\crya32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\PCTV Stereo\Remote\Remoterm.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PinnacleRemote] C:\Programme\Pinnacle\Shared Files\remoterm.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Admanager Controller] c:\program files\admanager controller\admanctl.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Do...bridge-c10.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {B4F32846-56DD-4CF5-94FD-17DE1A12E9EB} (CounterX Class) - http://t058.com/cabtest/counter.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

@ bine
Guckst Du mal hier und hier. Da gibt´s nur Neuaufsetzen tutto completto!!

neeeeeiiiiiinnnn!!!!!!!
neue threads erstellen hab ich doch gesagt!!!!
@bine nein. dein system ist kompromittiert, das heißt es ist nicht mehr vertrauenswürdig. du musst windows komplett neu installieren und cidres rat wie vorhin gesagt befolgen.

kann keinen cdplayer.exe finden. mein system ist soweit ich weiß auf "D" installiert, oder ?

Zitat:

Zitat von Chris14

OK, Sorry, veruche es in einem neuen.

achso stimmt ja^^ du musst selbstverständlich auf d: im ordner winnt\system32 gehen. ich bin als windowsinstallationsordner eben immernoch c: gewohnt^^

@ newgucci und @ andreHH:
Bitte macht für eure Probleme ein neues Thema auf! Keiner weiß mehr, wer wen anspricht.
Also: Forum Hijacker/HiJackThisLogfiles posten
und dort
"Thema erstellen" anclicken, o.k.?
cacatoa

Chris, die Datei scheint o.k. oder ?

File: cdplayer.exe
Status: OK
Packers detected: None

AntiVir No viruses found (0.17 seconds taken)
Avast No viruses found (1.52 seconds taken)
BitDefender No viruses found (0.39 seconds taken)
ClamAV No viruses found (0.43 seconds taken)
Dr.Web No viruses found (0.55 seconds taken)
F-Prot Antivirus No viruses found (0.07 seconds taken)
Kaspersky Anti-Virus No viruses found (0.68 seconds taken)
mks_vir No viruses found (0.22 seconds taken)
NOD32 No viruses found (0.42 seconds taken)
Norman Virus Control No viruses found (0.69 seconds taken)

plz neuen thread alles nun schreiben und gut.
das ist schön das ich mich da doch geirrt habe^^
dann fangen wir an die probleme zu beheben:

1.escan
-lade dir escan runter und gehe genau nach dieser anleitung vor

2.einträge löschen
-fixe mit hijackthis diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINNT\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINNT\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINNT\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINNT\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINNT\system32\mcicdb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINNT\system32\mcicdb.dll/sp.html (obfuscated)
O2 - BHO: (no name) - {28F4EDF7-C99A-40B4-BAB4-28CAEC2F2F42} - D:\WINNT\system32\mcicdb.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - D:\WINNT\system32\iecust.dll (file missing)
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://69.50.166.214/counter/new/x.chm::/update.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINNT\system32\Shdocvw.dll
O18 - Filter: text/html - {F7B1DC3E-DE0A-48F8-8D38-7703A995B04A} - D:\WINNT\system32\mcicdb.dll
O18 - Filter: text/plain - {F7B1DC3E-DE0A-48F8-8D38-7703A995B04A} - D:\WINNT\system32\mcicdb.dll

3.dateien löschen
-lösche die datei mcicdb.dl im ordner d:\winnt\system32
-lösche selbstverständlich alle von escan beanstandeten dateien (alle infected)

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues hijackthis log

...o.k. dauert ein kleines bischen

bitte bitte bitte schreib in einen neuen thread wie schon vorhin 3mal genannt..