Trojaner-Board - ie spielt verrückt

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - ie spielt verrückt (https://www.trojaner-board.de/1661-ie-spielt-verrueckt.html)

hi leute,
ich habe gehört, ihr sollt richtig gut sein. habe im homepage-forum ein problem beschrieben und da hat man gesagt, ich soll mich an euch wenden, weil es vielleicht ein wurm sein könnte:

http://www.homepage-forum.de/viewtopic.php?t=9309

bitte schaut euch das mal an...

Moin gormesgorm,

erst einmal 'Herzlich Willkommen im Board!.

Am Besten, Du lädst Dir (sofern möglich!!) erst einmal HijackThis herunter, scannst deinen Rechner und postest uns den Report hier. Dann können wir am besten sehen, was sich auf deinem Rechner so 'tummelt'...

tschööö, DerBilk

Logfile of HijackThis v1.97.7
Scan saved at 11:03:52, on 26.12.2003
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\Winamp\Winampa.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\TTTimer.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\sp.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
E:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Matthias\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: PerfectNavBHO Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NavErrRedir Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [WinampAgent] "E:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\WINDOWS\system32\TTTimer.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DEF9896-560C-4C41-852B-E9629E131CC2}: NameServer = 193.189.244.197 193.189.244.205

Hallo erstmal!
Habe ein ähnliches Problem...

Ganz am Anfang kam wenn ich auf bestimmte Seiten wollte immer diese perfectnav Page.
Dann hab ich mir auf Empfehlung eines Freundes das Programm Ad-aware runtergeladen und es durchlaufen lassen und anschließend die Sachen gelöscht, die er mir angezeigt hat. Danach lies ich auch nochmal Antivir durchlaufen, aber mir wurden keine Viren angezeigt.
Jetzt komm ich auf bestimmte Seiten nicht drauf und es wird angezeigt: "Die Seite kann nicht angezeigt werden..." (...halt der bekannte Text).
Ich hab mir dann auch mal HijackThis runtergeladen und nun wollte ich euch auch nach Hilfe fragen...

<blockquote>Zitat:<hr />Logfile of HijackThis v1.97.7
Scan saved at 11:08:36, on 26.12.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Dit.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: taskmgr.lnk = C:\WINDOWS\system32\taskmgr.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html[/QUOTE]Ich hoffe ihr könnt mir helfen :(

Ciao Wingman

@gormesgorm

<blockquote>Zitat:<hr />C:\WINDOWS\system32\TTTimer.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\WINDOWS\sp.exe[/QUOTE]Also P2P Networking.exe sieht nach Dialer aus. Lade dir mal YAW[1] runter und scann mal deinen Rechner.

Und diese sp.exe sieht verdächtig aus. Schon mal gescannt? Mit AVPE[2] z.B. oder sofern die Datei kleiner als 1MB ist, dann kannst du sie auch gut mit dem KAV Online Scanner[3] checken lassen.

@beide
Lasst mal Spybot[4] über euer System laufen.

Björn

[1] http://www.yaw.at
[2] http://www.free-av.de
[3] http://kaspersky.com/de/remoteviruschk.html
[4] http://www.safer-networking.org/

Habe YAW eladen, geupdated und zu meinem Glück sagt er folgendes:

<blockquote>Zitat:<hr />Gescannte Dateien: 16
Gefundene Dialer: 0
Verdächtige Dateien: 0
Scanvorgang erfolgreich abgeschlossen. [/QUOTE]Mal so nebenbei ne Frage: Klappt bei euch meine Seite www.red-inferno-duesseldorf.de ? Das ist nämlich mein Hauptproblem, ich komme nicht mehr drauf, aber z.B. mein bruder an seinem PC kommt drauf.

Ciao Wingi

Zu deinem Glück? Du hast doch nur 16 Dateien gescant, ich würde sagen den Desktop oder? Du mußt vor dem Scannen den kompletten Rechner mal anhacken, so das der alles scant nicht nur den Desktop.

[edit]
Ja, die Seite funktioniert bei mir.

Björn

Ups, mein fehler :rolleyes:

Ich weiß zwar nicht was du mit anhacken meinst, aber ich hab beim scannen einfach mal den Knopf "Alle Laufwerke scannen" aktiviert.

Jetzt zeigt er folgendes an...

<blockquote>Zitat:<hr />3080 Dialersignaturen geladen.
Scanne alle verfügbaren Laufwerke

Gescannte Dateien: 57180
Gefundene Dialer: 0
Verdächtige Dateien: 0
Scanvorgang erfolgreich abgeschlossen.[/QUOTE]

Soll nicht eigentlich auch mit aktivierter Heuristik gescannt werden?!

Jo kann er auch nochmal machen... [img]smile.gif[/img]

Ja das mit "Alle Laufwerke" das meinte ich [img]smile.gif[/img]

Björn

OK, OK, bin halt ziemlicher Anfänger auf dem Gebiet [img]graemlins/crazy.gif[/img]

So jetzt hab ich die komplette Festplatte gescannt (nicht wie vorhin alle) und er hat drei interessante Sachen gefunden die ich vorerst nich isoliert habe, weil ich erst euch fragen wollte:

<blockquote>Zitat:<hr />3080 Dialersignaturen geladen.
Scanne das Verzeichnis C:\

C:\Dokumente und Einstellungen\Wingman_67\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1MZ6QIIU\(2012-51{DE)[1].exe - Verdächtig: Programm wählt oder erstellt evtl. DFÜ Verbindungen
C:\WINDOWS\Driver Cache\i386\diapi2.sys.av - Verdächtig: Programm kann evtl. Verbindungen über die CAPI aufbauen
C:\WINDOWS\Driver Cache\i386\vinwm.sys.av - Verdächtig: Programm kann evtl. Verbindungen über die CAPI aufbauen

Gescannte Dateien: 56320
Gefundene Dialer: 0
Verdächtige Dateien: 3
Scanvorgang erfolgreich abgeschlossen.

[/QUOTE]

<blockquote>Zitat:<hr />Original erstellt von Wingman:

Zitat:

Logfile of HijackThis v1.97.7

Zitat:

Schauen wir mal. "Fix"e folgendes:

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - Startup: taskmgr.lnk = C:\WINDOWS\system32\taskmgr.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

Du koenntest dir noch adaware(www.lavasoft.de) oder SpybotSD(security.kolla.de) zulegen.

<blockquote>Zitat:<hr />Original erstellt von gormesgorm:
Logfile of HijackThis v1.97.7
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
[/QUOTE]Du solltest deinen IE/Windows mal updaten(www.windowsupdate.com)
"Fix"e zusaetzlich mal folgendes:
R3 - URLSearchHook: PerfectNavBHO Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: NavErrRedir Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [WinampAgent] "E:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

Das kannst du optional "fix"en ist aber nicht zwingend noetig:
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\WINDOWS\system32\TTTimer.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize

Du kannst dir ja auch mal Adaware und Spybot ansehen.

OK, ich mach das mal alles und gebe dann nochmal bescheid, wie es gelaufen ist.

Danke

Wingman

also ich habe nun deine progs installiert und ausgeführt. fehler immernoch da [img]graemlins/schrei.gif[/img]