Weiss nicht mehr weiter :-( ???

[kali]

Hallo an alle,

leider zeigt mir der IE bei einigen Seiten "Diese Seite kann nicht angezeigt werden". Auch wenn ich z.B. bei der Deutschen Bank bin geht es, dann aber
wenn ich mein Konto-nr. + BLZ + Pin eingebe und versuche mich einzuloggen
hackt es wieder ich brauche Eure Hilfe ... Danke im Voraus!

Hier mein Logfile ... wer weiss wo der Fehler ist ??? Hab ich einen Virus?

Code:

Logfile of HijackThis v1.99.1
Scan saved at 22:05:27, on 25.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\dokumente und einstellungen\admin\lokale einstellungen\temp\fsg_4203.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\Admin\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: RX Toolbar - {25D8BACF-3DE2-4B48-AE22-D659B8D835B0} - C:\Programme\RXToolBar\RXToolBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Trickler] "c:\dokumente und einstellungen\admin\lokale einstellungen\temp\fsg_4203.exe"
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - 
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe

[Jean-Paul]

Hi,
Du hast jede menge Spyware auf dem Rechner.
Auf jeden Fall würde ich momentan kein Homebanking machen, bis sich das ein Fachmann angeschaut hat.

Jean-Paul

[affa]

poste bitte dein log im VB (CODE) blablablabla(/CODE) [] anstelle der () verwenden und nicht so wie oben!

affa

[Speedy]

hi

einfach mal so zur info durchlesen !
-------------------------------------------

ich kann versuchen, dein system von malware zu befreien, du musst dir aber im klaren sein, das es schadsoftware gibt, die derzeit von keinem scanner aufgespürt werden kann, somit kann aber auch jedes system (auch meines) verseucht sein.
bei einer backdoor-infection wird empfohlen, das system neu aufzusetzen (format:c), darüber gibt es im netz einige beiträge, hier einer von j.malte, und eine empfehlung von microsoft, demgegenüber wird von microsoft ein removal tool angeboten, um malware sicher zu entfernen, hier sind auch schadprogramme mit backdoorfunktionalität dabei. das neuaufsetzen geht schneller wenn man eine wöchentliche datensicherung durchgeführt hat und das system 08/15 installiert ist, und ist auch sicherer. die reinigung hat den nachteil, dass man das system von mehreren verschiedenen scannern durchsuchen lassen muss, dies ist zeitaufwändig, aber man kann sein gewohntes system in der regel weiterverwenden. also entscheide dich. reinigung oder format:c

-------------------------------------------

C:\-------\temp\Hijackthis.exe
HijackThis niemals aus einem temp. ordner ausführen, das programm so anlegen
C:\Programme\HijackThis\HijackThis.exe dann klappt es auch mit dem backup

-------------------------------------------
bei windows xp und windows me, sollte man zuerst versuchen, mit hilfe der systemwiederherstellung den rechner in einen früheren zustand zu bringen, wähle einen herstellungspunkt, der vor der infektion liegt, system neu starten. (in der zwischenzeit installierte programme gehen verloren, persönliche daten bleiben erhalten). sollte keine besserung eintreten, kann man den vorgang wieder rückgängig machen.
---------------------------------------
start->systemsteuerung->software->programme ändern oder entfernen-> nachsehen, ob hier ein, oder mehrere programme installiert sind, die nicht absichtlich von dir installiert wurden, deinstallieren -> name der programme hier posten! kann ein programm nicht deinstalliert werden, ein möglicher grund: es ist in verwendung, mit dem taskmanager beenden und dann deinstallieren.
---------------------------------------
meist gibt es bei antivirenprogrammen einen infectet oder quarantäne-ordner, diesen bitte leeren.
---------------------------------------
start->systemsteuerung->internetoptionen->karteikarte allgemein->cookies und dateien löschen, verlauf leeren und bei einstellungen nie aktivieren
---------------------------------------
explorer starten C:\ markieren, rechte maustaste ->eigenschaften wählen->bereinigen->hier folgendes aktivieren übertragene programmdateien, temporary internet files, offlinewebseiten, papierkorb,temporäre dateien
(ordneransicht beachten, und alle temp. ordner suchen, sind noch dateien vorhanden manuell löschen)
> geschützte systemdateien ausblenden < deaktivieren und
> versteckte ordner und verzeichnisse < aktivieren
---------------------------------------
download von spybot s&d sowie ad aware (deutsche beschreibung), installieren, update ziehen, beenden. aktualisiere deine antivirensoftware, freeware gibt es hier
---------------------------------------
regcleaner von chip.de oder zdnet downloaden, unter options, language, select language, deutsch auswählen, beenden.
---------------------------------------
downlaod von winfix für xp, verwende es nur, wenn nach der reinigung die internetverbindung nicht mehr klappt. (für win95/98/98SE/ME))
---------------------------------------
ms removal tool downloaden und den rechner damit scannen, bereinigen lassen, dadurch kann es sein, das im folgenden einige einträge im hijackthis-logfile nicht mehr aufscheinen , dies erleichtert uns aber die arbeit ungemein.
--------------------------------------
deaktiviere die systemwiederherstellung (gilt nur für win me und win xp) und
---------------------------------------
wechsle in den abgesicherten modus von windows: PC einschalten, warten bis die meldung "windows wird gestartet..." am bildschirm erscheint, nun drücke sofort die taste [F8]. es erscheint ein start-menü im textmodus. wählen hier "abgesichert" bzw. "abgesicherter modus" und bestätigen dies mit der [eingabe]-taste. win95 win98/ME win2000 winxp
und fixe mit HijackThis die nachfolgenden einträge
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
O4 - HKLM\..\Run: [Trickler] "c:\dokumente und einstellungen\admin\lokale einstellungen\temp\fsg_4203.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O3 - Toolbar: RX Toolbar - {25D8BACF-3DE2-4B48-AE22-D659B8D835B0} - C:\Programme\RXToolBar\RXToolBar.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL


---------------------------------------
HijackThis-> config -> misc tools --> delete a file on reboot, wähle die zu löschende datei, die frage zum neustart mit nein beantworten, wieder delete a file on reboot wählen, nächste datei auswählen usw., bis du die letzte dateie ausgewählt hast, nun antwortest du auf die frage zum neustart mit JA
C:\dokumente und einstellungen\admin\lokale einstellungen\temp\fsg_4203.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL
C:\Programme\RXToolBar\RXToolBar.dll
c:\dokumente und einstellungen\admin\lokale einstellungen\temp\fsg_4203.exe
C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL

--------------------------------------
neustart wieder in den abgesicherten modus von windows,
lösche folgende ordner, leere den mistkübel aus
C:\Programme\Gemeinsame Dateien\CMEII\
C:\Programme\Gemeinsame Dateien\GMT\
C:\Programme\Need2Find\
C:\Programme\RXToolBar\

scanne und bereinige zuerst mit deiner antivirensoftware, dann mit adaware (alle optionen auf grün stellen) und zum schluss mit spybot s&d dein system (fehler beheben lassen).
-------------------------------------
regcleaner starten und unter tools, registry säubern, alles durchführen
------------------------------------
wähle nun bei spybot s&d modus -> erweiterter modus -> nun unter werkzeug alles, bis auf abo kündigen aktivieren ->nun resident wählen und hier sd helper und tea timer aktivieren, nun wählst du hosts dateien -> hinzufügen, dann wechselst du noch zu ie spielereien und hier hosts liste zum schutz gegen hijacker schreibgeschützt sperren
-------------------------------------
einen onlinescan mit panda-aktivscan explorer oder housecall auch mit alternativen browsern möglich, durchführen, ergebnis posten
------------------------------------
ein aktuelles Hijackthis-Logfile erstellen und so wie hier, in der ankündigung posten
-----------------------------------