Moin,

viele User haben sich pünktlich zum Weihnachtsfest mit einem 'frischen' Trojaner beschenken lassen.
Fehlermeldungen wie diese häufen sich in den diversen Foren:
</font><blockquote>Zitat:</font><hr />...Auf einmal hat "ntsearch" auf alle möglichen Wörter einen Hyperlink gesetzt und nun gehen einige Homepages nicht mehr richtig! Z. B. wird eine Seite geladen, und sobald diese geladen ist, ist die Seite nur noch grau...</font>[/QUOTE]Wenn ihr auch von diesem Problem betroffen seit, schlage ich folgende Vorgehensweise vor:

1. Ruhe bewahren!

2. Download des Tools cwsshredder
Sollte der Link aufgrund der 'ntsearch-Problematik' nicht funktionieren, könnt ihr auch diesen direkten Dowanloadlink http://www.spywareinfo.com/~merijn/files/cwshredder.zip nutzen. Achtung: Bei diesem Link startet sofort der Download. Normalerweise werden hier keine direkten Downloadlinks geposted, aber aufgrund der Problematik sehe ich keine andere Möglichkeit!
Edit:
Alternative Downloadseiten:
http://filepony.de/download-cwshredder/ oder
http://www.wintotaldb.de/yad/softw.php?id=1935
/Edit:

3. cwsshredder ausführen Achtung: Alle Browserfenster müssen geschlossen sein!

4. Download des Tools HijackThis
Sollte der Link aufgrund der 'ntsearch-Problematik' nicht funktionieren, könnt ihr auch diesen direkten Dowanloadlink http://www.merijn.org/files/HijackThis.exe nutzen. Achtung: Bei diesem Link startet sofort der Download. Normalerweise werden hier keine direkten Downloadlinks geposted, aber aufgrund der Problematik sehe ich keine andere Möglichkeit!
Edit:
Alternative Downloadseiten:
http://www.chip.de/downloads/c_downloads_11353576.html oder
http://www.wintotaldb.de/yad/softw.php?id=2022
/Edit:

5. HijackThis starten und auf "Scan" klicken.

6. Wenn ihr den Eintrag
</font><blockquote>Zitat:</font><hr /> O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe </font>[/QUOTE]findet, diesen 'fixen'. Achtung: Vor dem 'fixen' müssen alle Browserfenster geschlossen sein! Ist der Eintrag nicht vorhanden, weiter mit Nr. 9

7. Edit -gestrichen- (DerBilk) /Edit

8. C:\WINDOWS\sp.exe löschen

Edit
Nachtrag:
Da der wichtige Hinweis von mmk scheinbar leicht untergeht, setze ich ihn hier noch einmal hin.
Nach erfolgreicher Entfernung sollte bei Win ME und XP die Systemwiederherstellung temporär deaktiviert, der PC dann neugestartet und die Systemwiederherstellung reaktiviert werden. Die sp.exe wird sonst nach einem weiteren Neustart wieder aktiv.
/Edit

9. Windows und insbesondere den Internet-Explorer updaten.

10. SpybotSD und Adaware herunterladen, installieren, updaten, ausfuehren, reinigen lassen.

11. System neu starten

12. HijackThis erneut starten und auf "Scan" klicken. Anschließend steht auf dem gleichen Button "Save Log". Ausführen und die Logdatei bitte j e d e r (!!) in einem neuen, eigenen Thread posten. Wenn ihr alles in einen Thread posted. verlieren wir völlig die Übersicht...

13. Ruhe bewahren!! ;)

14. Beachten, dass wir alle nur freiwillig und zeitweise im Board sind. Auch wenn eine Antwort mal länger dauert, wir vergessen Euch nicht!!

15. In anderen Threads suchen, ob ihr Lösungsvorschläge zu Euren Log-Dateien findet!

16. In der Zwischenzeit ernsthaft über einen Browserwechsel nachdenken!!

In diesem Sinne,
tschööö, DerBilk

p.s. @Raman, wenn Du hier reinschaust, hab ich was wichtiges vergessen???

Edit:
Schreibfehler korrigiert, siehe auch Posting von raman.
Edit2: Link zu HijackThis auf Original-Fundstelle korrigiert
Edit3: Hinweis zur Systemwiederherstellung eingefügt
Edit4: Alternative Downloadseiten für HijackThis und CWShredder hinzugefügt
Edit5: Thread Titel geändert ;)

[ 05. M&auml;rz 2004, 18:52: Beitrag editiert von: DerBilk ]

Nein, einsame Spitze! Darf ich den Text "klauen"?

Moment, eine Kleinigkeit. es ist ntsearch.com nicht netsearch.com

ich versuche das jetzt auch gleich mal, bin nämlich schon total am verzweifeln, bei mir besteht jedes Forum, jede Homepage zu 85% aus NTSEARCH-Hyperlinks, ich habe jetzt über 13min gebraucht, um diesen Beitrag erfolgreich zu schreiben! [img]graemlins/kloppen.gif[/img]

Zum Ausgangsbeitrag bekam ich von mmk folgenden Hinweis:

</font><blockquote>Zitat:</font><hr />Zu den Punkten sechs bis acht:

Ich würde vorschlagen, _erst_ den laufenden Prozess der Datei sp.exe über den Taskmanager zu beenden, sie zu löschen, und _dann_ den Registry-Eintrag zu entfernen. Ich weiß nicht, wie es sich bei diesem - übrigens von Eset als Trojaner eingestuften "Nonyr.A" - im Detail verhält, aber es besteht die Gefahr, dass ein noch alktiver Trojaner einen gelöschten Registry-Eintrag schnell wiederherstellt.

Zudem: nach erfolgreicher Entfernung sollte bei Win ME und XP die Systemwiederherstellung temporär deaktiviert, der PC dann neugestartet und die Systemwiederherstellung reaktiviert werden. Sie wird nach einem weiteren Neustart wieder aktiv.
</font>[/QUOTE]Danke für den Input [img]graemlins/daumenhoch.gif[/img]
DerBilk

</font><blockquote>Zitat:</font><hr />Original erstellt von raman:
...Darf ich den Text "klauen"?...</font>[/QUOTE]Moin raman,

ist Dir denn gar nicht aufgefallen, dass ich vieles aus Deinen Postings in den diversen Security-Boards 'zusammengeklaut' habe? ;)
Klar kannst Du den Text benutzen!

tschööö, DerBilk

ich mache jetzt einen Thread auf mit meiner Logfile, wäre nett wenn mir einer von euchg helfen könnte!

Vielen Dank!

@Bilk:

Sehr schön. [img]smile.gif[/img]

Wenn du das noch mit ein paar weiteren Links zum Board bzw. zu unserer Seite ausstattest und ggfls. noch etwas erweiterst (evtl. kurze Erklärung, was die beiden Programme machen) und den Text für unsere Webseite aufarbeitest, dann könntest du dir zwischen 20-25 Euro damit verdienen.

Andreas

Vielleicht sollte man noch zum HiJackThis verlinken?

Cobra

@Andreas,

ich fürchte, bei meiner 'journalistischen Begabung' wäre der Bericht fertig, wenns schon längst nicht mehr aktuell ist. ;)
Aber ich versuche es. Muss aber gleich dazu sagen, dass es heute garantiert nichts mehr wird!

Ach ja, es wäre schön, wenn mir einer der Betroffenen einen Screenshot zur Verfügung stellen könnte, wie sich das im Browser auswirkt. Bitte via PM melden. Danke!

tschööö, DerBilk

Jetzt muß ich mal eine Frage stellen. Vielleicht ist die sehr dämlich, aber watt solls. Kann ich mir den oben genannten Trojaner eigentlich auch einfangen, wenn ich ein upgedatetes Windows und eine upgedatete Virensoftware habe? Oder sind die meisten Probleme hier im Bord mit Ungeziefer selbstverschuldet durch Unachtsamkeit und Ignoranz?

Edit: Um Verunsicherungen bei neuen Usern zu vermeiden, korrigiere ich dieses Posting, innerhalb dessen ich anfangs über den Installationsweg "Active X" als Ursache sprach.

</font><blockquote>Zitat:</font><hr />Original erstellt von flexibel44:
Kann ich mir den oben genannten Trojaner eigentlich auch einfangen, wenn ich ein upgedatetes Windows und eine upgedatete Virensoftware habe?</font>[/QUOTE]Korrigiert: Nein.

</font><blockquote>Zitat:</font><hr />Oder sind die meisten Probleme hier im Bord mit Ungeziefer selbstverschuldet durch Unachtsamkeit und Ignoranz?</font>[/QUOTE]In diesem Fall hängt es schlichtweg mit der Nutzung des Internet Exploreres als Browser zusammen, (Korrigiert: und einer ungepatchten Java VM von Microsoft).

Aber den IE mit diesem Gefahrenpotential (u.a. auch Active X im Allgemeinen) zu nutzen, könnte man durchaus bereits als "Unachtsamkeit" bezeichnen, ja.

Ich sage nur: Firebird, Mozilla Suite, Opera oder K-Meleon. Auf den IE sollte aufgrund seiner tiefen Integration in das Betriebssystem dringend verzichtet werden. Allgemein gilt aber weiterhin bei jeder Software: zusätzlich auf dem aktuellsten Stand halten.

[ 30. Dezember 2003, 11:46: Beitrag editiert von: mmk ]

</font><blockquote>Zitat:</font><hr />Original erstellt von flexibel44:
Kann ich mir den oben genannten Trojaner eigentlich auch einfangen, wenn ich ein upgedatetes Windows und eine upgedatete Virensoftware habe?</font>[/QUOTE]In diesem Fall denke(!) ich das du mit einem aktuell gehaltenen Windows/IE nicht mit diesem Trojaner auf normalem Weg infiziert werden kannst. Da er auf eine Seite verlinkt die etwas mit Coolwebsearch zu tun hat, denke ich, das es den Verbreitungsweg nimmt wie alle CWS Varianten, naemlich ueber einen Bug in MS virtal machine.

Orakel:

Wenns nicht der o.g. Trojaner ist, dann ist es ein anderer. Und wenns nicht der Bug in der MS virtal machine ist, dann ist es ein anderer.

Und wenns kein Bug und kein neuer Trojaner ist, dann ist es die Dummheit (oder soll ich lieber Blauäugigkeit sagen?) der User.

Andreas

</font><blockquote>Zitat:</font><hr />Original erstellt von raman:
Da er auf eine Seite verlinkt die etwas mit Coolwebsearch zu tun hat, denke ich, das es den Verbreitungsweg nimmt wie alle CWS Varianten, naemlich ueber einen Bug in MS virtal machine.</font>[/QUOTE]Edit: Ach so, du meinst u.a. wegen der Verlinkung zum cws-shredder?

Eine Verbindung zu cws und dessen Verbreitungsweg hatte ich nun noch nicht gesehen. Nicht alles muss sich zwangsläufig über die gleichen Sicherheitslücken verbreiten. Aber OK, wenn anderweitig diese Verbindung zu cws schon hergestellt wurde, dann ist es wahrscheindlich, dass auch hier die VM-Lücke genutzt wird.

*Wenn* er sich also wie andere cws-Varianten über die Sicherheitslücke in der Java VM verbreitet, dann *hätte* in diesem Fall Patchen sicher geholfen. Doch wie Andreas bereits sagte: beim nächsten Trojaner kann es bereits wieder anders sein. Daher bleibt es prinzipiell bei meinem Tipp, auf den IE zu verzichten. Grundsätzlich.

Edit 2:
Browserwechsel
- http://firebird-browser.de
- http://mozilla.kairo.at
- http://opera7.de

Java von Sun:
http://www.java.com/de/index.jsp

[ 30. Dezember 2003, 02:14: Beitrag editiert von: mmk ]

hier findet man ein programm das den trojaner löscht.

wäre nett wenn ihr das den leuten als schnelle hilfe anbieten würdet [img]graemlins/daumenhoch.gif[/img]

Link zum NTSearch.com Deinstaller

mag jemand einen ntsearch-deinstaler testen? ist von einem programmierer hier aus der ecke, aber ich werd das nicht veröffentlichen, wenn es nicht von einem av-hersteller stammt und/oder von einer seriösen sicherheitsseite stammt.

</font><blockquote>Zitat:</font><hr />Gesendet: Dienstag, 6. Januar 2004 12:27
An: redaktion@oberberg-aktuell.de
Betreff: Btr. Deinstallationsprogramm für NTSearch.com Trojaner aus Oberberg [img]smile.gif[/img]

Sehr geehrte Damen und Herren,

seit kurzem grasiert ein neuer "Trojaner" im Internet, der Spooner Trojaner (NTSearch.com).

Der Trojaner tauscht vorhandene Links in Webseiten mit einem Link zu www.ntsearch.com aus und zeigt manche Seiten nur leer an.

Da der Rechner eines Bekannten am Wochenende infiziert wurde, machte ich mich auf die Suche nach Hilfe zur Deinstallation des Trojaners.

Mit der gefundenen Hilfe habe ich am Sonntag ein kleines Programm (9kb) geschrieben, das diesen Trojaner findet und vom System löscht.

Mein Programm funktioniert von Windows 98 -&gt; Windows XP und ist in Assembler programmiert.

Da Sie Oberbergs größte Internetzeitung sind, würde ich mich freuen wenn Sie mein Programm Ihren*Lesern vorstellen würden, ich komme auch aus Oberberg und könnte etwas "Werbung" vertragen :)

Sie finden das kostenlose Programm (SpoonWeg) auf meiner Homepage : Http://***.de.vu

Für weitere Fragen/Artikel zu diesem Trojaner oder anderen Fragen im Windows Sicherheitsbereich, stehe ich Ihnen gerne zur Verfügung.

Mit freundlichem Gruss

Mxxx x.</font>[/QUOTE]WENN das teil funzt, veröffentliche ich es ja gerne, aber nicht einfach so. link gibbet gerne per e-mail ;)

[ 06. Januar 2004, 16:38: Beitrag editiert von: BEASTIEPENDENT ]

@ BEASTIEPENDENT

Kann ich dein Eingangs Posting, wenn es Nu richtig ist diese Trojaner/Viren zu entfernen mal entnehmen, und in einen anderen Forum Posten, ist das erlaubt ?

THN

Moin THN,

auf jeden Fall kannst Du wohl auf dieses Board verweisen. Das ist imho das selbe Tool.
Ich habe es gestern Abend mal heruntergeladen. Ausprobieren konnte ich es allerdings nicht, da ich nicht betroffen bin...

tschööö, DerBilk

Das Tool funktioniert hier unter XP, allerdings weiss ich nicht, wie das Programm, die SP.exe identifiziert. Sprich nach Dateiname oder zumindest Pruefsumme.

Wer von euch testet das jetzt mal an einem Backdoor, nennt ihn nach sp.exe um, startet ihn und laesst das tool mal drauf los! Wahlweise kann man ja auch NOTEPAD.EXE nehmen. [img]smile.gif[/img]

edit: Nein, so doof ist es nicht!

</font><blockquote>Zitat:</font><hr />Original erstellt von TrojanerHunterNEW:
Kann ich dein Eingangs Posting, wenn es Nu richtig ist diese Trojaner/Viren zu entfernen mal entnehmen, und in einen anderen Forum Posten, ist das erlaubt ?</font>[/QUOTE]hiho,

ja, ich denke schon (alllerdings isses ja nich von mir selber), außerdem fehlt ja der link?!

</font><blockquote>Zitat:</font><hr />Original erstellt von DerBilk:
auf jeden Fall kannst Du wohl auf dieses Board verweisen. Das ist imho das selbe Tool.</font>[/QUOTE]yep, hat mir der programmierer inzwischen auch (nochmal) geschrieben. also er hat nochmal geschrieben und auch dieses board genannt.

ich kann das tool nicht prüfen und möchte aus verständlichen gründen kein av-tool den lesern empfehlen, wenn ich nicht wirklich sicher sein kann, dass es das ist, was es vorgibt zu sein.

insbesondere nach seiner zweiten mail habe ich den eindruck, dass es seriös ist, aber ich MUSS mich absichern. ;)

ich bin der author des programmes SpoonWeg um das es hier unter anderem geht.

also das programm ist eigentlich recht einfach aufgebaut, sonst wären es ja keine 9kb ;)

bei der ersten version hatte ich noch keinen spooner hijackers, darum habe ich lediglich die 'sp.exe' im speicher gesucht, beendet,den autostart registry key und das file von der festplatte gelöscht...

als ich sonntag mittag die 'sp.exe' von meinem schwager in spe bekommen habe, habe ich gesehen das der author des hijackers vergessen hatte den handlenamen im taskmanager zu entfernen.

wenn man ctrl-alt-entf drückt, sieht man den process 'sp'

mein neues programm (version 1.1.0.0) liest nun die handlenamen aus und vergleicht die namen mit 'sp'
wenn 'sp' gefunden wird, dann wm_quit
in der registry den key 'sp' lesen=pfad zum spooner
den wert mit deletefile bearbeiten, vorher eventuellen schreibschutz löschen
dann den regkey löschen und das wars...

wird sicher keiner ein seriöses programm haben das sich nur 'sp' nennt, habe in 20 jahren computer erfahrung keins gesehen [img]smile.gif[/img]

an dem source code hänge ich nicht so besonders, hab da eh nur ca. 4 stunden getippt und gebastelt.
also wenn es die sache was beschleunigt gebe ich den source code gerne an jemand versiertes weiter.
das programm ist in assembler geschrieben.

es gibt sicher noch genug leute die diesen hijacker auf dem rechner haben und auch keine anti viren software, die warten auf hilfe :confused:

eigentlich finde ich es gut das ihr das so ernst behandelt, aber dann sollte das schon was schneller gehen mit dem testen [img]graemlins/kloppen.gif[/img]

also bitte die neue version downloaden, antesten und wenn jemand eine bessere idee hat das teil zu finden, bitte posten.

mir ging es nur darum meinem schwager in spe, der keine ahnung von registry+taskmanager usw. hat, kurzfristig seinen pc wieder nutzbar zu machen.
er wohnt in hannover, ich in gummersbach...leider nichts mit mal eben hinfahren.
also konnte ich nur den deinstaller coden und dann halt veröffentlichen [img]smile.gif[/img]

gruss faraji

Hallo,

seit gestern wird aus "www.google.de" --&gt; "www.www.google.de.org" !!

Ich habe getestet:
- adaware
- spybotsd12.exe
- HijackThis.exe
- CWShredder.exe
- SpoonWeg.exe

hat alles nicht geholfen !!

Wer weiss noch etwas??

Lore :mad:

</font><blockquote>Zitat:</font><hr />Original erstellt von Lore:
Hallo,

seit gestern wird aus "www.google.de" --&gt; "www.www.google.de.org" !!

Ich habe getestet:
- adaware
- spybotsd12.exe
- HijackThis.exe
- CWShredder.exe
- SpoonWeg.exe

hat alles nicht geholfen !!

Wer weiss noch etwas??

Lore :mad: </font>[/QUOTE]Poste mal bitte den Bericht von Hijackthis!!
Daruas können dann andere Infos entnehmen und effektiver helfen! [img]smile.gif[/img]

Cu, Ramses

Logfile of HijackThis v1.97.7
Scan saved at 16:47:14, on 13.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVirenKit\AVKSVC.exe
D:\Programme\AntiVirenKit\AVKWCTL.exe
D:\Programme\AntiVirenKit\AvkServ.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\AntiVirenKit\AVKPOP.EXE
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\WinZip\WZQKPICK.EXE
D:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
D:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
D:\Programme\Internet Explorer\iexplore.exe
C:\Programm-Dateien\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVK Mail Checker] "D:\Programme\AntiVirenKit\AVKPOP.EXE"
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: ZoneAlarm.lnk = D:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {072D3F2E-5FB6-11D3-B461-00C04FA35A21} (CFForm Runtime) - http://62.138.42.212/CFIDE/classes/CFJava.cab
O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - http://download.macromedia.com/pub/shockwave/cabs/authorware/awswaxf.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37867.0161111111
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

</font><blockquote>Zitat:</font><hr />seit gestern wird aus "www.google.de" --&gt; "www.www.google.de.org" !!....</font>[/QUOTE]Hallo und willkommen im Board Lore,

ist das nur bei der seite google.de so, oder auch bei allen anderen Seiten?

Es gibt doch im IE das 'Feature' das www am Anfang und org am Ende automatisch hinzugefügt werden können. Also zum Beispiel, wenn man auf www.microsoft.com will, braucht man nur microsoft eingeben. Nur weiß ich aus dem Kopf leider nicht auswendig, wie man das (de)aktiviert. Ich werd mal ein bisschen 'graben'.

Nachtrag:
STRG+EINGABETASTE = "http://www." am Anfang und ".com" am Ende des in der Adressleiste eingegebenen Textes einfügen.

Hast Du zufällig die [STRG]-Taste gedrückt, bzw. kann es sein, dass sie klemmt??
BTW: Dein HijackThis-Log sieht für mich sauber aus.

tschööö, DerBilk

[ 13. Januar 2004, 19:00: Beitrag editiert von: DerBilk ]

Hallo,

es tritt zum Glück nur bei Google auf - ich hoffe das bleibt so, bis ich den Fehler gefunden habe.

Nein, keine STRG + Eingabe gedrückt, IM IE ist auch das Autovervollständigen abgeschaltet.

Ich habe gerade noch mal die Prozesse angesehen - es läuft nichts zusätzliches, auch bei der Umleitung nicht. Das gleich tritt auch in Mozilla auf.

Lore

Hallo!

Ich bräuchte bitte unbedingt Hilfe von euch Spezialisten! Ich habe auch das Problem mit ntsearch.com. Zusätzlich will sich bei mir immer ein Programm installieren, ohne dass ich das veranlasst habe. Habe schon versucht gezielt diesen Trojaner (Spooner) zu entfernen, aber das Programm hat ihn nicht gefunden und mein Antivirenprogramm meldet mir immer wieder, dass ich eine gefährliche Datei (C:\\Windows\Desktop\-Embedding) isolieren soll. Hab ich auch schon mehrmals gemacht, aber diese Meldung kommt immer wieder. Hat das überhaupt was mit einem Trojaner zu tun, ist es ein Virus, oder ist mein Computer einfach nur verrückt?? Kenn mich überhaupt nicht aus. Kann mir jemand helfen? Danke!
lg Sumsi

</font><blockquote>Zitat:</font><hr />Original erstellt von Sumsi:
Hallo!

Ich bräuchte bitte unbedingt Hilfe von euch Spezialisten! Ich habe auch das Problem mit ntsearch.com. Zusätzlich will sich bei mir immer ein Programm installieren, ohne dass ich das veranlasst habe. Habe schon versucht gezielt diesen Trojaner (Spooner) zu entfernen, aber das Programm hat ihn nicht gefunden und mein Antivirenprogramm meldet mir immer wieder, dass ich eine gefährliche Datei (C:\\Windows\Desktop\-Embedding) isolieren soll. Hab ich auch schon mehrmals gemacht, aber diese Meldung kommt immer wieder. Hat das überhaupt was mit einem Trojaner zu tun, ist es ein Virus, oder ist mein Computer einfach nur verrückt?? Kenn mich überhaupt nicht aus. Kann mir jemand helfen? Danke!
lg Sumsi </font>[/QUOTE]Hi!
Schau mal in diesen Thread und lade dir auch "Hijack-This" runter und poste dein LOG FILE!!!

Cu, Ramses

Hallo Ramses!
Hab dir das mal eingefügt!

Logfile of HijackThis v1.97.7
Scan saved at 23:14:37, on 13.01.2004
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\E_S10IC2.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\TEXTBRIDGE CLASSIC 2.0\BIN\INSTANTACCESS.EXE
C:\PROGRAMME\DOWNLOADWARE\DW.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\WINAMP3\WINAMPA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.windowenhancer.com/searchbar/iev1.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearch&kw=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vienna.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearch&kw=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rd.yahoo.com/customize/ymsgr/defaults/*http://my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.windowenhancer.com/searchbar/iev1.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearch&kw=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://rd.yahoo.com/customize/ymsgr/defaults/*http://my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearch&kw=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearch&kw=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearch&kw=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=tk-proxy.univie.ac.at:3128;gopher=tk-proxy.univie.ac.at:3128;http=tk-proxy.univie.ac.at:3128;https=tk-proxy.univie.ac.at:3128
R3 - URLSearchHook: WebSearch Class - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - C:\PROGRAMME\WINEX\V2\WINEX.DLL
O1 - Hosts: 216.40.230.4 desktop.kazaa.com
O1 - Hosts: 216.40.230.4 alpha.kazaa.com
O1 - Hosts: 216.40.230.4 shop.kazaa.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet4_50.dll
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAMME\MEDIALOADS ENHANCED\ME2.DLL
O2 - BHO: (no name) - {00041A26-7033-432C-94C7-6371DE343822} - C:\PROGRAMME\WINEX\V2\WINEX.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O7 "EPUSB1:" /M "Stylus C42"
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [WindowEnhancer] "C:\PROGRAMME\WINEX\V2\WINEX.EXE" /U
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37595.0293287037
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst.cab
O16 - DPF: {A4639D2F-774E-11D3-A490-00C04F6843FB} (IEAnimBehaviorFactory Class) - http://download.microsoft.com/download/vizact2000/Install/10/WIN98Me/EN-US/msorun.cab
O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/games/clients/y/mjst3_x.cab
O16 - DPF: Yahoo! Mensch - http://download.games.yahoo.com/games/clients/y/mat3_x.cab

Oha, das ist aber eine 'nette' Sammlung....

Auf der ersten Seite findest Du Hinweise zu CWShredder und Spybot Search&Destroy. Diese kostenlosen Tools solltest Du als erstes herunterladen (Spybot aktualisieren nicht vergessen!) und die Vorarbeiten machen lassen. Danach poste bitte ein neues Log, damit wir sehen, ob noch etwas übrig geblieben ist, was weg sollte.

tschööö, DerBilk

Hab alles so gemacht wie du mir gesagt hast. Hat 121 Problemchen gefunden und behoben. Hier ist mein neues Log:


Logfile of HijackThis v1.97.7
Scan saved at 01:10:47, on 16.01.2004
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\E_S10IC2.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\TEXTBRIDGE CLASSIC 2.0\BIN\INSTANTACCESS.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\WINAMP3\WINAMPA.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\HIJACKTHIS.EXE
C:\PROGRAMME\SYMANTEC\LIVEUPDATE\LUCOMSERVER.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vienna.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rd.yahoo.com/customize/ymsgr/defaults/*http://my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://rd.yahoo.com/customize/ymsgr/defaults/*http://my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=tk-proxy.univie.ac.at:3128;gopher=tk-proxy.univie.ac.at:3128;http=tk-proxy.univie.ac.at:3128;https=tk-proxy.univie.ac.at:3128
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet4_50.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O7 "EPUSB1:" /M "Stylus C42"
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccProxy] C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPROXY.EXE
O4 - HKLM\..\RunServices: [SndSrvc] C:\PROGRA~1\GEMEIN~1\SYMANT~1\SNDSRVC.EXE
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37595.0293287037
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst.cab
O16 - DPF: {A4639D2F-774E-11D3-A490-00C04F6843FB} (IEAnimBehaviorFactory Class) - http://download.microsoft.com/download/vizact2000/Install/10/WIN98Me/EN-US/msorun.cab
O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/games/clients/y/mjst3_x.cab
O16 - DPF: Yahoo! Mensch - http://download.games.yahoo.com/games/clients/y/mat3_x.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} (EPlugin Control) - http://66.230.146.53/EPlugin_AT.cab

Moin,

hast Du Spybot vor dem Scan aktualisiert? Ich hätte erwartet, dass noch mehr gefunden wird...

Nun gut, gehen wir es manuell an. Bitte 'fix'e mit HijackThis noch folgende Einträge:

</font><blockquote>Zitat:</font><hr />
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet4_50.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} (EPlugin Control) -
BTW: Wenn ich die Einträge richtig deute, hast Du Norton Internet Security und Zonealarm auf Deinem Rechner laufen. Ohne eine Grundsatzdiskussion über Sinn und Unsinn von Desktop-Firewalls vom Zaun zu brechen, Du solltest die für max. eine davon entscheiden und nicht beide gleichzeitig aktiv haben...

tschööö, DerBilk

Ich schon wieder, wollt mich nochmal recht herzlich für die Hilfe bedanken!!!!

Ich bin neue hier, finde aber alles sehr interessant.

Ich habe leider das Problem mit dem lästigen Link zu ntsearch auch gehabt und bin auf die Website davon gegangen. Unter "Usage Policy" ganz unten wird die Möglichkeit angeboten, diese lästige Sache entfernen zu lassen.

Ich habe es ausprobiert und habe glück gehabt. Ob ich deswegen was anderes reingeholt oder sonst was kaputt geamcht habe weiß ich leider (noch) nicht.

Moin Johnny und Willkommen im Board!

Danke für die Info. Ist schon interessant. Am Tag als ich den Thread geöffnet habe, wurde ntserach.com noch weitergeleitet auf Cool Web Search.... Ob da jemand kalte Füße bekommen hat?
Wäre schön, wenn sich dieses Removal-Tool mal jemand genauer anschauen würde. Das übersteigt leider meine Fähigkeiten...

Ob Du Dir noch etwas anderes 'eingefangen' hast, kannst Du mit den hier beschriebenen Tools testen.

tschööö, DerBilk

Hallo liebe leute!
Kann mir jemand vielleicht sagen ob mein HijackThisLog sauber ist?! Vielen dank im voraus! ;)

Logfile of HijackThis v1.97.7
Scan saved at 22:24:38, on 23.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Common files\updater\wupdater.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Panicware\Pop-Up Stopper Free Edition\PSFree.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Opera7\opera.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Software\Schutz\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {029CA12C-89C1-46a7-A3C7-82F2F98635CB} - (no file)
O2 - BHO: (no name) - {04079851-5845-4dea-848C-3ECD647AA554} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7193a5c5-892a-4e30-a674-60ff61f69263} - (no file)
O2 - BHO: NavErrRedir Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {CB8DE326-EA4C-4A15-9F55-2B035299F7D2} - (no file)
O3 - Toolbar: (no name) - {2CF0B992-5EEB-4143-99C2-5297EF71F44B} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: (no name) - {800e3984-5850-43f3-a718-82d4eda18ef7} - (no file)
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [wkhimrd] rundll32 C:\WINDOWS\System32:wkhimrd.dll,Init 1
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [updater] C:\Programme\Common files\updater\wupdater.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\Programme\Panicware\Pop-Up Stopper Free Edition\PSFree.exe"
O4 - HKLM\..\RunOnce: [*wkhimrd] rundll32 C:\WINDOWS\System32:wkhimrd.dll,Init 1
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: LingoWare Translator... (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {36C66BBD-E667-4DAD-9682-58050E7C9FDC} (CDKey Class) - http://www.cdkeybonus.com/cdkey/ITCDKey.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37657.0299189815
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.5.115.205 194.25.2.129

@Ramses

Das sieht leider nicht so gut aus. Die diverse Adware fällt dabei noch gar nicht so sehr ins Gewicht, viel eher aber der wahrscheinlich aktive Backdoor.Afcore. Mehr dazu gleich.

Mache Folgendes zur Entfernung des Backdoor.Afcore:

1.) Klicke &gt;Start &gt;Ausführen.
2.) Gibt dort die folgenden drei Buchstaben ein: CMD
3.) Drücke die Enter-Taste.
4.) Im nun erschienenen DOS-Fenster gib ein:
rundll32 C:\WINDOWS\System32:wkhimrd.dll,Uninstall
5.) Drücke erneut die Enter-Tastee.
6.) Der Trojaner sollte deinstalliert sein - entferne ggf. verbliebene
Reste mit Hilfe von HijackThis bzw. poste danach ein neues LogFile!


Zur Entfernung der Adware auf deinem System lade dir Spybot S&D: http://security.kolla.de

Sollte das Entfernen des Afcore fehlschlagen, beachte bitte die Hinweise in diesem Thread:

http://www.trojaner-board.de/forum/u...c;f=6;t=004802

Sollte es Probleme oder Unklarheiten geben, benennen sie exakt und frage konkret nach!

Hallo,
Ihr redet hier immer von HiJackThis... wo bitte bekomme ich dies??? Also habe kein akkutes Probs... Online-Check hat Sauberkeit bestätigt...trotzdem ist HiJackThis sicher wichtig auf dem Comp zu haben...
Gruß
Peso

</font><blockquote>Zitat:</font><hr />Original erstellt von PeSo:
Ihr redet hier immer von HiJackThis... wo bitte bekomme ich dies???</font>[/QUOTE]Schau in diesem Thread auf Seite 1:
http://www.trojaner-board.de/forum/ultimatebb.php?ubb=get_topic;f=6;t=004653

Gleich im ersten Beitrag befindet sich dazu ein Link:
http://www.merijn.org/downloads.html

</font><blockquote>Zitat:</font><hr />Online-Check hat Sauberkeit bestätigt...</font>[/QUOTE]Ein Online-Virencheck kann - wie auch ein lokaler - allgemein keine Garantie dafür geben, dass das System wirklich sauber ist. Zum Beispiel, wenn neue Malware oder Dialer / Adware nicht erkannt werden, weil sie sich gar nicht in der Siganturendatenbank des Scanners befinden.

Erst einmal danke für deine hilfe Markus!
Hier mein neues LogFile:

Logfile of HijackThis v1.97.7
Scan saved at 21:58:03, on 30.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Common files\updmgr\updmgr.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Panicware\Pop-Up Stopper Free Edition\PSFree.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Opera7\opera.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Software\Schutz\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: PerfectNavBHO Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {029CA12C-89C1-46a7-A3C7-82F2F98635CB} - (no file)
O2 - BHO: (no name) - {04079851-5845-4dea-848C-3ECD647AA554} - (no file)
O2 - BHO: NavErrRedir Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7193a5c5-892a-4e30-a674-60ff61f69263} - (no file)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {CB8DE326-EA4C-4A15-9F55-2B035299F7D2} - (no file)
O3 - Toolbar: (no name) - {2CF0B992-5EEB-4143-99C2-5297EF71F44B} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: (no name) - {800e3984-5850-43f3-a718-82d4eda18ef7} - (no file)
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\Programme\Panicware\Pop-Up Stopper Free Edition\PSFree.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: LingoWare Translator... (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {36C66BBD-E667-4DAD-9682-58050E7C9FDC} (CDKey Class) - http://www.cdkeybonus.com/cdkey/ITCDKey.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37657.0299189815
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.5.115.205 194.25.2.129

Ich muss vielleicht dazu sagen dass ich im moment ÜBERHAUPT keine Probleme mit meinem PC habe, d.h. es läuft alles einwandfrei und ich bin zufrieden, deswegen habe ich mich so gewundert als u mir schreibst dass ich ein Problem habe.. deswegen würde ich mich freuen wenn du nocheinmal mein LogFile überschsute ;) DANKE!!

Kannst du mir sagen weas ich noch fixen muss?!

Hi mmk!
Gibt es auch deutsche Seite für den Hijacker???? Bin nicht versiert im Englischen...
Übrigens will mein Browser immer ein Problem feststellen und beendet sich, wenn ich den direkten Link zum Hijacker benutze...

</font><blockquote>Zitat:</font><hr />Original erstellt von PeSo:
Gibt es auch deutsche Seite für den Hijacker???? Bin nicht versiert im Englischen...</font>[/QUOTE]Nur zur Klarstellung: HijackThis ist kein Hijacker, sondern ein Tool, um Hijacker aufdecken zu können!
Ich hatte mal eine Anleitung erstellt:
HijackThis - bebilderte Anleitung

</font><blockquote>Zitat:</font><hr />Übrigens will mein Browser immer ein Problem feststellen und beendet sich, wenn ich den direkten Link zum Hijacker benutze... </font>[/QUOTE]Nutze dann ausnahmsweise den Direktlink zum Download:

Hi Markus,
danke für Deine Antwort...
Am Schluss mal mein Ergebnis...
Findest Du was???
Und wenn ja, wie funktioniert das mit dem "Fixen"?????
Ansonsten - ich bekomme trotz NAV und Ad-aware 6 (inklusive löschen! - Geht bei NAV aber nicht...)immer wieder die Meldung über eine Bedrohung durch Cydoor (Adware) Hotbar... Warum krieg ich das nicht von meinem Comp?????????????
Gruß
Peso

[ 04. Februar 2004, 21:13: Beitrag editiert von: PeSo ]

Hallo Markus...???
Wäre Dir für eine Analyse wirklich sehr dankbar!!!
Gruß
PeSo

[ 03. Februar 2004, 03:46: Beitrag editiert von: PeSo ]

</font><blockquote>Zitat:</font><hr />Original erstellt von PeSo:
Am Schluss mal mein Ergebnis...
Findest Du was???</font>[/QUOTE]Ich denke, das zuletzt von dir in einem extra Thread gepostete Log ist aktueller. [img]smile.gif[/img] Obwohl, wie ich gerade sehe... hbei diesem Log hätte ich das gleiche auszusetzen wie im anderen Thread geäußert.

</font><blockquote>Zitat:</font><hr />Und wenn ja, wie funktioniert das mit dem "Fixen"?????</font>[/QUOTE]1.) Mit HijackThis scannen.
2.) Den Internet Explorer schließen.
3.) Die genannten Einträge markieren (Haken jeweils links davon setzen)
4.) Dann "Fix checked" klicken.

Lösche sodann diese Datei manuell:
C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe

</font><blockquote>Zitat:</font><hr />Ansonsten - ich bekomme trotz NAV und Ad-aware 6 (inklusive löschen! - Geht bei NAV aber nicht...)immer wieder die Meldung über eine Bedrohung durch Cydoor (Adware) Hotbar... Warum krieg ich das nicht von meinem Comp?????????????</font>[/QUOTE]Cydoor durch die Installation bestimmter Shareware, die ganzen Toolbars durch die Internet Explorer Nutzung. Tipp: Suche die einen sichereren Browser:

- http://mozilla.kairo.at
- http://firebird-browser.de
- http://opera7.de

</font><blockquote>Zitat:</font><hr />Original erstellt von PeSo:
Hallo Markus...???
Wäre Dir für eine Analyse wirklich sehr dankbar!!!</font>[/QUOTE]Sorry, immer bin ich auch nicht hier. ;)

Hallo Markus!
Danke, danke, danke!!! [img]graemlins/bussi.gif[/img]
Schau doch bitte nochmal bei meinem anderen Eintrag nach...
Danke! [img]graemlins/lach.gif[/img]
PeSo

</font><blockquote>Zitat:</font><hr />Original erstellt von PeSo:
Schau doch bitte nochmal bei meinem anderen Eintrag nach...</font>[/QUOTE]Done. ;)

[img]graemlins/daumenhoch.gif[/img]

HI! Könnte sich jemand nochmal mein log angucken?
Ich habe schon alles benutzt, doch sobald ich ins Internet gehe, kommt so nach 10-20sec wieder dieses andere Fenster, welches nur durch Strg/Alt/Entf zu beseitigen ist. Habe aber unter den Prozessen keine sp.exe.
Hier mal mein Ergebniss mit dem HijackThis


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/d...en/default.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/d...en/default.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2fb863fc-7600-419b-85ec-0d51e6badded} - C:\DOKUME~1\Franki\ANWEND~1\fcrsteabldt.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: odrwwgtrprd - {c6ebbf34-c760-4680-9b59-0d23697f6815} - C:\DOKUME~1\Franki\ANWEND~1\fcrsteabldt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] C:\Programme\CloneCD\ElbyCheck.exe /L ElbyCDFL
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programme\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Anti-Trojan-Watch] C:\Programme\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Programme\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C71354F-365C-45FE-A4A4-05F7EE559A69}: NameServer = 217.5.115.7 194.25.2.129

[img]graemlins/heulen.gif[/img]

</font><blockquote>Zitat:</font><hr />
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {2fb863fc-7600-419b-85ec-0d51e6badded} - C:\DOKUME~1\Franki\ANWEND~1\fcrsteabldt.dll

O3 - Toolbar: odrwwgtrprd - {c6ebbf34-c760-4680-9b59-0d23697f6815} - C:\DOKUME~1\Franki\ANWEND~1\fcrsteabldt.dll
</font>[/QUOTE]
...die haben am System nix zu suchen. Spybot S&D, Ad-Aware oder Pestpatrol laufen lassen.
</font><blockquote>Zitat:</font><hr />
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
</font>[/QUOTE]
...von RealPlayer-Updater könnte man auch verzichten. Entferne den Eintrag im StartUp (Autostart) -Menü

</font><blockquote>Zitat:</font><hr />Original erstellt von Fr@nk:

O17 - HKLM\System\CCS\Services\Tcpip\..\{0C71354F-365C-45FE-A4A4-05F7EE559A69}: NameServer = 217.5.115.7 194.25.2.129
</font>[/QUOTE]CCS-Services??

schau dir das auch mal näher an...jedenfalls mal das tool was rene-gad vorschlägt verwenden,...ansonsten wenn du Ad Aware hast könnte es auch vielleicht reichen...

unnötig im hintergrund mitlaufende programme beenden, Ordner TEMP leeren, temp.internetfiles incl.offlineinhalte löschen, dann erst mit einem tool/programm scannen...

tony

</font><blockquote>Zitat:</font><hr />
CCS-Services??
</font>[/QUOTE]..CurrentControlSet/Servises ist richtig ;) .

well, habe auch inzwischen etwas darüber gefunden...dachte...warte mal auf anwort...ansonsten hätte ich es korrigiert. also nix "böses" in diesem sinne...

tony

bei mir kommt neuerdings ein pop-up von ntsearch obwohl ich nix angestellt hab wie krieg ich des weg??

</font><blockquote>Zitat:</font><hr />Original erstellt von borg22:
bei mir kommt neuerdings ein pop-up von ntsearch obwohl ich nix angestellt hab wie krieg ich des weg?? </font>[/QUOTE]Hi Borg,

schau Dir doch mal die Seiten 1-3 dieses Beitrags an.. ;)

</font><blockquote>Zitat:</font><hr />Original erstellt von Who Cares:
</font><blockquote>Zitat:</font><hr />Original erstellt von borg22:
bei mir kommt neuerdings ein pop-up von ntsearch obwohl ich nix angestellt hab wie krieg ich des weg?? </font>[/QUOTE]Hi Borg,

schau Dir doch mal die Seiten 1-3 dieses Beitrags an.. ;) </font>[/QUOTE]ich hab ja schon hijackthis laufen lassen und ein logfile gepostet(www.www....de.org) des war (fast) clean und der cwshredder hat auch alles als clean gemeldet.

borg22

[img]graemlins/schrei.gif[/img]
Hi
also ich hab ma die Frage und zwar hab ich mir mal sämtliche sachen durchgelesen die ich zu dem thema finden konnte und dadurch auch ne menge programme runtergeladen die laut posts helfen sollen aber ich habe jeden tag aufs neue coolwebsearch drauf welches auch jeden tag aufs neue (manchmal mehrfach) von adaware cwschredder und kollegen gefunden wird.
ich hab auch schon versucht das dingen aus der system32 persönlich zu verbannen aber am nächsten tach is es unter einem anderen namen wieder da...

habt ihr ne idee was ich da machen könnte?? [img]graemlins/koch.gif[/img]
das fängt nähmlich echt an zu nerven und scheint ja wie ich gelesen hab meiner online sicherheit auch nicht zu dienen [img]graemlins/pfui.gif[/img]

Hi,

Bist du dir sicher, dass du ALLE Schritte beachtet hast, auch den Schritt: "Systemwiederherstellung deaktivieren" ?

Also ich hatte das Problem mit CoolWebSearch auch, dass konnte ich jedoch schnell selber lösen da ich schon länger Ad-Aware und andere Tools benutze [img]smile.gif[/img] ...aber ich finde das die ersten 3 Seiten gut beschreiben ist.

Ich hab schon ein paar BrowserHijacker weggebracht aber einer kommt immer wieder bzw. geht nicht weg. [img]graemlins/heulen.gif[/img]

Mich würde auch interressieren warum man die "sp.exe" löschen muss. Ich trau mich die nicht zu löschen. Hab sie schon gefixt aber nicht lelöscht ist bei mir außerdem nicht im Windows Ordner sondern unter WINNT.

Hier meine Logfile:
(Das hier kommt immer wieder http://t.rack.cc/h.php?aid=35)


Logfile of HijackThis v1.97.7
Scan saved at 18:21:20, on 18.04.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\gearsec.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\anvshell.exe
C:\WINNT\svchost.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\System32\internat.exe
C:\WINNT\System\webcheck.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\PrecisionTime\PrecisionTime.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\SPIELE3\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchxl.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://t.rack.cc/h.php?aid=35
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.utanet.at
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://t.rack.cc/h.php?aid=35
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://t.rack.cc/s.php?aid=35
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchxl.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.utanet.at
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchxl.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von UTA Telekom AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;&lt;local&gt;
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://t.rack.cc/h.php?aid=35
O1 - Hosts: 69.61.38.52 auto.search.msn.com
O1 - Hosts: 69.61.38.52 search.msn.com
O1 - Hosts: 69.61.38.52 ie.search.msn.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Programme\DashBar\DashBar15.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKLM\..\Run: [Online Service] C:\WINNT\svchost.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SystemSearch] C:/WINNT/REGEDIT.EXE -s C:/WINNT/system.reg
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [System Update] C:\WINNT\System\webcheck.exe
O4 - HKCU\..\Run: [sp] C:\WINNT\sp.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.utanet.at
O16 - DPF: DigiChat Applet - http://host8.digichat.com/DigiChat/DigiClasses/Client_IE.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

</font><blockquote>Zitat:</font><hr /> O4 - HKCU\..\Run: [internat.exe] internat.exe
</font>[/QUOTE]da gabs doch mal was drüber nur daraus schlau geworden bin ich auch nicht.

edit:
des könnte des sein:
http://securityresponse.symantec.com...l.lemir.d.html
oder des:
http://securityresponse.symantec.com...cqser.165.html

Die folgenden Einträge fixen:
</font><blockquote>Zitat:</font><hr />
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKLM\..\Run: [Online Service] C:\WINNT\svchost.exe
</font>[/QUOTE]Die folgenden Einträge würde ich auch fixen:
</font><blockquote>Zitat:</font><hr />
O4 - HKCU\..\Run: [sp] C:\WINNT\sp.exe
O4 - HKLM\..\Run: [SystemSearch] C:/WINNT/REGEDIT.EXE -s C:/WINNT/system.reg
</font>[/QUOTE]

Gnah funzt immer noch nicht... :(

Logfile of HijackThis v1.97.7
Scan saved at 16:55:00, on 22.04.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\gearsec.exe
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\anvshell.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\System\webcheck.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\PrecisionTime\PrecisionTime.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~1\ICQ\ICQ.exe
C:\SPIELE3\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchxl.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://t.rack.cc/h.php?aid=35
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.utanet.at
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchxl.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.utanet.at
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchxl.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von UTA Telekom AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;&lt;local&gt;
O1 - Hosts: 69.61.38.52 auto.search.msn.com
O1 - Hosts: 69.61.38.52 search.msn.com
O1 - Hosts: 69.61.38.52 ie.search.msn.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Programme\DashBar\DashBar15.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security Professional\UrlLstCk.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [System Update] C:\WINNT\System\webcheck.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.utanet.at
O16 - DPF: DigiChat Applet - http://host8.digichat.com/DigiChat/DigiClasses/Client_IE.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


edit: Soll ich die "sp.exe" Datei komplett vom Computer löschen und nicht nur fixen?

Hallo,

da muss noch einiges mehr raus:

</font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchxl.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://t.rack.cc/h.php?aid=35
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.utanet.at
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchxl.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.utanet.at
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchxl.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von UTA Telekom AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;&lt;local&gt;
O1 - Hosts: 69.61.38.52 auto.search.msn.com
O1 - Hosts: 69.61.38.52 search.msn.com
O1 - Hosts: 69.61.38.52 ie.search.msn.com
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
</font>[/QUOTE]Folgende Datei bitte einmal bei Kaspersky überprüfen: </font><blockquote>Zitat:</font><hr /> C:\WINNT\System\webcheck.exe
</font>[/QUOTE]http://www.kaspersky.com/de/remoteviruschk.html

Bei Malware-Fund </font><blockquote>Zitat:</font><hr />O4 - HKCU\..\Run: [System Update] C:\WINNT\System\webcheck.exe </font>[/QUOTE]auch fixen.

Dateien die du gefixt hast, musst du anschließend löschen! Das gilt auch für die SP.exe. Das fixen bedeutet nur, dass sie nicht mehr gestartet werden. Sie befinden sich aber solange auf dem Rechner, bis sie von Dir gelöscht werden.

Gruß,
Lutz

Hatte mich wohl im Forenbereich vertan ......hier mein Posting und die Log-Datei:

Problem :(

Noch ein User, noch so ein Problem
 

Hi an alle,

habe mir den Beitrag genauestens durchgelesen. Habe das gleiche Problem, daß mein "Freund" der Internet Explorer keine Suchseiten mehr besuchen will. Anstelle von google kommt dann auch diese ominöse Umleitung auf "http://www.www.google.de.org" (ebenfalls kann ich housecall und adidas nicht öffnen). Firefox sagt mir lediglich, daß die Seiten nicht gefunden werden können. Habe auch schon alle erdenklichen Programme überm Rechner laufen lassen (HiJackThis, antivir, CWSShredder, Ad-Aware, Spambot, usw.) Leider ohne Erfolg :-( Könnt ihr mir helfen? Will nämlich nicht schon wieder als puren Zeitvertreib format c: machen.

Hier mal das log von HiJackThis:

Logfile of HijackThis v1.98.2
Scan saved at 23:04:28, on 14.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\atwtusb.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Siemens\Gigaset WLAN Adapter\wlm.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Bernd\Desktop\SMARTRIPPER_ENTPACKT\hijackthis1982\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
F2 - REG:system.ini: Shell=Explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ZDConfig] "C:\Programme\ZyDAS Technology Corporation\ZyDAS Wireless LAN\ZDConfig.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [YAW Autostart] "C:\Programme\YAW\yaw.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = ?
O4 - Global Startup: iTouch - Konfiguration.lnk = C:\Programme\Logitech\iTouch\iTouchcf.exe
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{68E23EB6-860E-4875-8495-6C04C0BEA744}: NameServer = 192.168.1.1


Schon mal Danke für eure Mühe

klaus

Ich seh nix, ausser dies:

F2 - REG:system.ini: Shell=Explorer.exe FIXEN!

Hi alle zusammen,

nach Umstieg von analog auf wireless-dsl meldet sich zwar nach der Internet-Sitzung keine Anforderung von irgendeinem darkwarez.net mehr, trotzdem habe ich den HijackThis drübergeschickt mit der nachfolgenden logfile-Liste als Ergebnis. Das einzige, was mir auffällt, ist im "zweiten Teil" bei 04 die dritte Zeile 04 - ... Daemon. Vielleicht kennt sich jemand mit den Dingen ein bisschen besser aus als ich und kann mir sagen, ob diese oder noch andere Dateien getarnte Viren oder änhnlicher Mist sind. Vielen Dank schon mal für die Mühe und Hilfe.

Logfile of HijackThis v1.98.2
Scan saved at 11:36:51, on 15.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\Programme\iFinger\iFinger.exe
C:\Palm\HOTSYNC.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\WINZIP~1\wzqkpick.exe
E:\WINZIP~1\winzip32.exe
E:\Antiviren aus dem Netz\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: iFinger - {1624F640-49AC-11D3-8ABD-00C04FA95EE0} - C:\Programme\iFinger\iFingerBHO.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\jyyvcu.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\avqeroir.exe
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKLM\..\Run: [Microsoft Java Windows Update] qdceph.exe
O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\RunServices: [Microsoft Java Windows Update] qdceph.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Java Windows Update] qdceph.exe
O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O4 - Global Startup: iFinger.lnk = C:\Programme\iFinger\iFinger.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = E:\winzip Testversion\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\System32\SHDOCVW.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll

@ UHU

Hallo,

Ich bin erschüttert. Dein System ist offen wie ein Scheunentor.
Warum patcht du dein System nicht?


O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
http://www.sophos.com/virusinfo/analyses/w32blastere.html

O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe
Diese Datei wird von einigen Würmer/Trojaner mit Backdoor Funktionalität verwendet, aber wahrscheinlich Rbot.gen

Und weitere:
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\jyyvcu.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\avqeroir.exe
O4 - HKLM\..\Run: [Microsoft Java Windows Update] qdceph.exe
O4 - HKLM\..\RunServices: [Microsoft Java Windows Update] qdceph.exe
O4 - HKCU\..\Run: [Microsoft Java Windows Update] qdceph.exe

Konsequenz:
Reiß dein System ab und setze es neu auf, da es für dich nicht mehr vertrauenswürdig ist. Deine Daten und Passwörter sind als bekannt anzusehen, denn irgendjemand hatte bzw. hat Fernzugriff auf deinen Rechner.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
4. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. Deine Passwörter ändern
8. Image deiner Systempartition erstellen mit z.B. Acronis True Image 7
9. Surfverhalten überdenken


Kompromittierung unvermeidbar?

@ UHU

Wäre sicher sinnvoller, wenn du dafür ein eigenes Thema erstellt hättest. Dein Logfile sieht leider gar nicht gut aus. Du hast aktive Trojaner auf deinem System, der Daemon-Eintrag ist nun grade gutartig, dafür gibt es aber eine Menge Schädlinge wie msconfg.exe.
Eigentlich sollte ich auf die Aufzählung verzichten, su.:

C:\WINDOWS\system32\slserv.exe

Mit ziemlicher Sicherheit ein Schädling, wenn man den Rest des Logfiles betrachtet, falls du ein Motherboard mit SIS-Chipsatz hast, evtl. ok.

O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\jyyvcu.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\avqeroir.exe
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKLM\..\Run: [Microsoft Java Windows Update] qdceph.exe
O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\RunServices: [Microsoft Java Windows Update] qdceph.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [Microsoft Java Windows Update] qdceph.exe
O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe

Alles Trojaner/Viren. Ich empfehle DRINGEND, dass du keine Zeit damit verschwendest, dies zu reparieren, sondern dein System neu aufsetzt.


1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach ZUERST www.windowsupdate.com besuchen und alle Updates installieren (oder von zuvor gebrannten CD´s)
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt esAlternativen zu Outlook wie Eudora, foxmail, The Bat) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen, ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen

Surfen auf Warez-Seiten ist nie eine gute Idee.

LOL Cidre, wir müssen uns echt mal absprechen... :)

@ MountainKing

Sollten wir machen oder du legst dir DSL zu. ;) :lach:

Ist doch für den TO super, wenn die Aussagen bezüglich Neuaufsetzen nochmals untermauert werden.:daumenhoc

Das ist teilweise in anderen Foren nicht der Fall, dort wird rumgefrickelt was das Zeug hält. Da werden zwar die Symptome beseitigt, aber die Ursache des Problems besteht weiterhin. :mad:
Der berühmte Kampf gegen die Windmühlen. :)

Ich hätte ja gern DSL, aber die Telekom will nicht mitspielen. :(

OffTopic: Ich pendle oft zwischen zwei Orten - an einem hab ich DSL, am anderen nur ISDN - da merke ich dann oft, wie verhältnismäßig langsam die Rekationszeiten sind. ;)

:o Danke mountainking und Cidre,
eigentlich sollte ich mich jetzt schämen für soviel Dummheit. Aber ich fühlte mich sicher mit meinem Antivirus von Norton (mit upgrade) und die Versuche, updates von windows zu kriegen waren mit einem Analog-modem kaum möglich, vor allem wenn mein freenet-provider beim installieren nach 20 min die Verbindung unterbricht. Seit ein paar Tagen habe ich wie gesagt DSL und gestern nacht (vor meiner Anfrage) 53 updates geladen. Scheint nichts geholfen zu haben. Habe übrigens nicht wie wild gesurft, sondern - meiner Meinung nach - nur vertrauenswürdige homepages besucht (niemals so etwas wie warez); und verdächtige e-mails hatte ich in 2 Jahren vielleicht 3 oder 4, die ich ungeöffnet endgültig gelöscht habe. Komisch, was. Auch die Norton firewall - seit etwa einer Woche installiert - scheint nichts von unerlaubten Verbindungen der Trojaner zu bemerken. Habe alle Sicherheitsstufen auf Maximum hochgefahren. Welche Antivirus- und Firewallprogramme taugen also wirklich etwas? Ich denke, ich sollte sie haben, bevor ich tabula rasa mache und alles wieder neu einrichte. Was wird dabei aus meinen Dateien, die ich für meine Arbeit brauche (word- und excel-Dokumente)? Vorher sichern auf CD oder externe Festplatte, aber dann. Hole ich mir damit nicht wieder - falls irgendwie infiziert - wieder Schädlinge in mein System)?

Es ist natürlich von hier aus sehr schwer beziehungsweise unmöglich, nachzuvollziehen, wie du dir diese Infektionen genau zugezogen hast. Wesentlich ist da ganz sicher, dass dein System eben nicht gepatched ist, so dass längst geschlossene Löcher noch bestehen. Ein weiterer wichtiger Punkt ist: es gibt keine Software, mit der du dich sicher fühlen solltest. Wenn grundsätzliches "Fehlverhalten" vorhanden ist (das System nicht gepatched, unsichere mailanhänge geöffnet, aktive Inhalte ohne Nachfragen zugelassen usw.) dann kann diese Software durchaus in dem einen oder anderen Fall Schlimmeres verhindern. Und sieht man eine schöne Meldung über einen gefundenen Virus oder einen geblockten Vorgang, fühlt man sich noch mehr geschützt. Aber wie schon angedeutet, eher früher als später funktioniert diese Art "Schutz" nicht mehr, jede Software lässt sich umgehen, die Antivirenprogramme sind schon von Natur aus den Programmieren der Viren immer einen Schritt hinterher usw. und das größte Sicherheitsrisiko sitzt nach wie vor vor dem Bildschirm und ist bei bahezu allen Infektionen direkt oder mittelbar verantwortlich. Cidre hat einige gute Links zu dem Thema schon gepostet, wie diesen hier:

http://www.mathematik.uni-marburg.de...ompromise.html


Andererseits ist es eben dann logischerweise auch so: begehst du diese grundlegenden Fehler nicht, schwindet automatisch auch der Nutzen dieser Zusatzprogramme, die im Moment dadurch, dass entsprechende Themen auch in den Medien eine zunehmende Rolle spielen, als Retter in der Not angepriesen werden. Ein Antivirenprogramm kann man schon haben, aber es darf eben wie gesagt, nicht zu falschem Sicherheitsdenken verführen. Will man Geld ausgeben, wäre Kaspersky gut oder AVK, in der Regel genügt aber auch das kostenlose Antivir. Eine extra Software-Firewall ist eigentlich weitgehend überflüssig, immer vorausgesetzt, man hält die WESENTLICH wichtigeren Grundregeln ein, die ja schon einige Male aufgezählt wurden. Als Tool zum Überwachen von Datentransfers oder zum Lernen einige Dinge sind sie sicher nützlich, wichtig ist einfach, dass du immer im Hinterkopf behältst, dass diese Software keine Sicherheit garantiert oder bestimmte Dinge wirksam esetzen kann.

Was deine Word und Excel-Dateien betrifft, ist auch hier natürlich eine Aussage schwierig, niemand von uns weiß, was in der Zeit, in der auf deinem System Trojaner "gearbeitet" haben, dort passiert ist. WENN sie von was auch immer infiziert sind, würdest du die Schädlinge dann wohl schon wieder einschleppen. Du kannst sie ja vorher mit E-Scan und Antivir mal scannen, ich nehme an, dass es sich einfach um Daten handelt, die du retten MUSST, ein gewisses Restrisiko bestünde auch dann noch, aber man muss ja auch nicht immer vom Schlimmsten ausgehen.