Mich hats erwischt
 

Guten Morgen liebe Gemeinde,

mich hat es gestern beim Surfen erwischt. Nach dem ansurfen einer Seite hat mein Antiviren Prog verrückt gespielt und mir jede Menge Trojaner angezeigt.
Ich habe das System direkt vom Netz genommen und mich auf die Suche nach Schädlingen gemacht. Gefunden und beseitigt habe ich viel. Allerdings ist da noch 1 nerviges Problem. Und zwar öffnet sich nun in unregelmässigen abständen mein Browser (Opera) und Surft unter anderem diese Seiten an.

BITTE NICHT ANKLICKEN !
ht*p://w*w.amaena.com/security/?aid=mgwav2&lid=trojan
ht*p://w*w.cash-coupon.com/normal/yyy102.html
http://w*w.cool-discount.com/normal/yyy102.html
ht*p://w*w.your-deal.com/normal/yyy102.html
ht*p://de.dadamobile.com/splash/specialoffer_de1.html

Um solche Sachen zu bekämpfen nutze ich die üblichen Tools Spybot, Adaware, Hijackthis und als Antivirensoftware Antivir.
Diese Tools haben zu Anfang jede Menge gefunden, nur halt diese (hoffe letzte nervige Sache) nicht.
Eine Softwarefirewall habe ich bis vorhin nicht Installiert gehabt, da ich hinter einem Router mit einer Firwall sitze.
Um Zugriffe von Programmen festzustellen, habe ich nun mal Zone Alarm Installiert.

Normalerweise komme ich mit Viren, Trojanern und sonst was gut zurecht und hatte bisher keine grösseren Probleme. Aber hier bin ich nun Ratlos und weiss nicht mehr weiter.

Hier ein Logfile von Hijack This:

Logfile of HijackThis v1.99.1
Scan saved at 07:18:48, on 16.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\xampp\apache\bin\Apache.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe
C:\Programme\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\xampp\apache\bin\Apache.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\nvraidservice.exe
C:\WINDOWS\Mixer.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\1&1\SMS-Manager\SMSMngr.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\xampp\xampp\mysql\bin\winmysqladmin.exe
C:\Programme\Opera\Opera.exe
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\CrasH\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [TerraTec Scheduler] "C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [1&1 SMS-Manager] C:\Programme\1&1\SMS-Manager\SMSMngr.exe
O4 - Startup: WinMySQLadmin.lnk = C:\Programme\xampp\xampp\mysql\bin\winmysqladmin.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1126961101311
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab
O20 - Winlogon Notify: App Paths - C:\WINDOWS\system32\hrrs0597e.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\apache\bin\Apache.exe" -k runservice (file missing)
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - C:\Programme\xampp\xampp\service.exe (file missing)

Ich kann dem Log nichts bösartiges mehr entnehmen. Aber vielleicht ihr. Ich hoffe ihr könnt mir helfen. Ich denke schon daran das System neu auf zu setzen, was ich allerdings nur sehr ungern machen will. :nixda:

Bitte um Hilfe und danke im vorraus.

Edit:
Ps: Ach ja .. manchmal wird eine Seite angesurft, und dann wird der komplette Browser geschlossen.

Gruß Arayiz :D

Guten Morgen nochmal zusammen,

nach einem Scan mit escan habe ich mich dazu entschieden das system neu zu machen. escan hat nochmal 39 viren gefunden die ich nun allerdings von Hand löschen müsste da ich keine Lizensierte Version von escan besitze. Was nicht das Problem ist. Das Problem ist wohl eher ob ich sicher sein kann das dann wirklich alles weg ist. Da ich Online Banking sowie Online Games wie WoW benutze scheint es mir das Sicherste zu sein.

Danke an alle die einen Blick in diesen Thread geworfen haben.

Cya

:headbang:

Hi,
das hier:
O20 - Winlogon Notify: App Paths - C:\WINDOWS\system32\hrrs0597e.dll
war nicht gut.
Insgesamt war Deine Entscheidung, neu aufzusetzen, sinnvoll, denn damit (wenn du es richtig gemacht hast), bist du auf der ganz sicheren Seite.
cacatoa

Hallo,

wollte mich nur bedanken für deine Antwort @cacatoa.
System ist frisch und hoffentlich Secure :)

Also dann cya