Hilfe für Erstanwender

[Einnotter]

Habe wohl auch einen Trojaner, der mir die Startseite hijackt.

Bitte um Hilfe beim weiteren Vorgehen!

Code:

Logfile of HijackThis v1.99.1
Scan saved at 16:19:12, on 06.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TightVNC\WinVNC.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\MHOTKEY.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\NOTTER~1.WEN\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\NOTTER~1.WEN\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lionelectronics.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\NOTTER~1.WEN\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nero.com/de/download.php?id=1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {F19CB2AB-C7B3-49E6-A964-01CC579CDC72} - C:\WINDOWS\system32\epdp.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CHotKey] MHOTKEY.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [ScheduleSync.Siemens.SmartSync.5.2.exe] C:\Programme\Siemens\SmartSync\ScheduleSync.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\NOTTER~1.WEN\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.lionelectronics.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Wendler
O17 - HKLM\Software\..\Telephony: DomainName = Wendler
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Wendler
O18 - Filter: text/html - {DD100587-B916-45A8-B105-89DAE044C5F4} - C:\WINDOWS\system32\epdp.dll
O18 - Filter: text/plain - {DD100587-B916-45A8-B105-89DAE044C5F4} - C:\WINDOWS\system32\epdp.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\TightVNC\WinVNC.exe" -service (file missing)

Danke für etwaige Hilfe!

[Speedy]

hi, antwort in arbeit, aber hättest du dir nichts besseres einfangen können

bitte vorerst das ausführen

Anleitung:http://www.sysinternals.com/ntw2k/f...kitreveal.shtml
Entpacken, RootkitRevealer.exe starten auf scan klicken, warten, logfile speichern und hier posten

[Einnotter]

Merci!


ich hoffe das was ich hier beifüge ist das entsprechende "Logfile".
Grüße und auf bald

Heiko

Code:

HKLM\SOFTWARE\DeterministicNetworks\DNE\Parameters	23.02.2005 14:20	0 bytes	Security mismatch.
HKLM\SOFTWARE\DeterministicNetworks\DNE\Parameters\SymbolicLinkValue	23.02.2005 14:20	132 bytes	Hidden from Windows API.
C:\$AttrDef	23.11.2004 10:52	2.50 KB	Hidden from Windows API.
C:\$BadClus	23.11.2004 10:52	0 bytes	Hidden from Windows API.
C:\$BadClus:$Bad	23.11.2004 10:52	19.53 GB	Hidden from Windows API.
C:\$Bitmap	23.11.2004 10:52	625.09 KB	Hidden from Windows API.
C:\$Boot	23.11.2004 10:52	8.00 KB	Hidden from Windows API.
C:\$Extend	23.11.2004 10:52	0 bytes	Hidden from Windows API.
C:\$Extend\$ObjId	23.11.2004 10:52	0 bytes	Hidden from Windows API.
C:\$Extend\$Quota	23.11.2004 10:52	0 bytes	Hidden from Windows API.
C:\$Extend\$Reparse	23.11.2004 10:52	0 bytes	Hidden from Windows API.
C:\$LogFile	23.11.2004 10:52	64.00 MB	Hidden from Windows API.
C:\$MFT	23.11.2004 10:52	81.64 MB	Hidden from Windows API.
C:\$MFTMirr	23.11.2004 10:52	4.00 KB	Hidden from Windows API.
C:\$Secure	23.11.2004 10:52	0 bytes	Hidden from Windows API.
C:\$UpCase	23.11.2004 10:52	128.00 KB	Hidden from Windows API.
C:\$Volume	23.11.2004 10:52	0 bytes	Hidden from Windows API.
D:\$AttrDef	23.11.2004 10:52	2.50 KB	Hidden from Windows API.
D:\$BadClus	23.11.2004 10:52	0 bytes	Hidden from Windows API.
D:\$BadClus:$Bad	23.11.2004 10:52	17.72 GB	Hidden from Windows API.
D:\$Bitmap	23.11.2004 10:52	566.99 KB	Hidden from Windows API.
D:\$Boot	23.11.2004 10:52	8.00 KB	Hidden from Windows API.
D:\$Extend	23.11.2004 10:52	0 bytes	Hidden from Windows API.
D:\$Extend\$ObjId	23.11.2004 10:53	0 bytes	Hidden from Windows API.
D:\$Extend\$Quota	23.11.2004 10:53	0 bytes	Hidden from Windows API.
D:\$Extend\$Reparse	23.11.2004 10:53	0 bytes	Hidden from Windows API.
D:\$LogFile	23.11.2004 10:52	64.00 MB	Hidden from Windows API.
D:\$MFT	23.11.2004 10:52	240.00 KB	Hidden from Windows API.
D:\$MFTMirr	23.11.2004 10:52	4.00 KB	Hidden from Windows API.
D:\$Secure	23.11.2004 10:52	0 bytes	Hidden from Windows API.
D:\$UpCase	23.11.2004 10:52	128.00 KB	Hidden from Windows API.
D:\$Volume	23.11.2004 10:52	0 bytes	Hidden from Windows API.

[Ruby]

Hallo Einnotter,

es wirkt etwas unvollständig? Hast du das gesamte Logfile gepostet? So nein, bitte wiederhole es. Erstelle dann zunächst ein weiteres HijackThis Logfile und poste es.

[Einnotter]

OK habe also einen Scan mit ROOTKITREVEALER gemacht und dann nochmals Hijackthis laufen lassen.

Poste im folgenden das neue Hijackthis-logfile und im Anschluss, was Rootkitrevealer noch ergab, hoffe das isses dann.. ;-)

Code:

Logfile of HijackThis v1.99.1
Scan saved at 13:17:58, on 07.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\TightVNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\MHOTKEY.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\NOTTER~1.WEN\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lionelectronics.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\NOTTER~1.WEN\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nero.com/de/download.php?id=1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {F19CB2AB-C7B3-49E6-A964-01CC579CDC72} - C:\WINDOWS\system32\epdp.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CHotKey] MHOTKEY.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [ScheduleSync.Siemens.SmartSync.5.2.exe] C:\Programme\Siemens\SmartSync\ScheduleSync.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\NOTTER~1.WEN\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.lionelectronics.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Wendler
O17 - HKLM\Software\..\Telephony: DomainName = Wendler
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Wendler
O18 - Filter: text/html - {DD100587-B916-45A8-B105-89DAE044C5F4} - C:\WINDOWS\system32\epdp.dll
O18 - Filter: text/plain - {DD100587-B916-45A8-B105-89DAE044C5F4} - C:\WINDOWS\system32\epdp.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\TightVNC\WinVNC.exe" -service (file missing)

und das RootkitRevealerzeugs hier:

Code:

HKLM\SOFTWARE\DeterministicNetworks\DNE\Parameters	23.02.2005 14:20	0 bytes	Security mismatch.
HKLM\SOFTWARE\DeterministicNetworks\DNE\Parameters\SymbolicLinkValue	23.02.2005 14:20	132 bytes	Hidden from Windows API.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed	07.03.2005 13:05	4 bytes	Data mismatch between Windows API and raw hive data.
C:\$AttrDef	23.11.2004 10:52	2.50 KB	Hidden from Windows API.
C:\$BadClus	23.11.2004 10:52	0 bytes	Hidden from Windows API.
C:\$BadClus:$Bad	23.11.2004 10:52	19.53 GB	Hidden from Windows API.
C:\$Bitmap	23.11.2004 10:52	625.09 KB	Hidden from Windows API.
C:\$Boot	23.11.2004 10:52	8.00 KB	Hidden from Windows API.
C:\$Extend	23.11.2004 10:52	0 bytes	Hidden from Windows API.
C:\$Extend\$ObjId	23.11.2004 10:52	0 bytes	Hidden from Windows API.
C:\$Extend\$Quota	23.11.2004 10:52	0 bytes	Hidden from Windows API.
C:\$Extend\$Reparse	23.11.2004 10:52	0 bytes	Hidden from Windows API.
C:\$LogFile	23.11.2004 10:52	64.00 MB	Hidden from Windows API.
C:\$MFT	23.11.2004 10:52	81.64 MB	Hidden from Windows API.
C:\$MFTMirr	23.11.2004 10:52	4.00 KB	Hidden from Windows API.
C:\$Secure	23.11.2004 10:52	0 bytes	Hidden from Windows API.
C:\$UpCase	23.11.2004 10:52	128.00 KB	Hidden from Windows API.
C:\$Volume	23.11.2004 10:52	0 bytes	Hidden from Windows API.
D:\$AttrDef	23.11.2004 10:52	2.50 KB	Hidden from Windows API.
D:\$BadClus	23.11.2004 10:52	0 bytes	Hidden from Windows API.
D:\$BadClus:$Bad	23.11.2004 10:52	17.72 GB	Hidden from Windows API.
D:\$Bitmap	23.11.2004 10:52	566.99 KB	Hidden from Windows API.
D:\$Boot	23.11.2004 10:52	8.00 KB	Hidden from Windows API.
D:\$Extend	23.11.2004 10:52	0 bytes	Hidden from Windows API.
D:\$Extend\$ObjId	23.11.2004 10:53	0 bytes	Hidden from Windows API.
D:\$Extend\$Quota	23.11.2004 10:53	0 bytes	Hidden from Windows API.
D:\$Extend\$Reparse	23.11.2004 10:53	0 bytes	Hidden from Windows API.
D:\$LogFile	23.11.2004 10:52	64.00 MB	Hidden from Windows API.
D:\$MFT	23.11.2004 10:52	240.00 KB	Hidden from Windows API.
D:\$MFTMirr	23.11.2004 10:52	4.00 KB	Hidden from Windows API.
D:\$Secure	23.11.2004 10:52	0 bytes	Hidden from Windows API.
D:\$UpCase	23.11.2004 10:52	128.00 KB	Hidden from Windows API.
D:\$Volume	23.11.2004 10:52	0 bytes	Hidden from Windows API.

Grüße

Heiko

[Ruby]

Hallo Einnotter,

du hast einige Trojaner auf deinem Rechner. Das werden wir jetzt genauer prüfen. Mach bitte folgendes:

Vergewissere dich, dass du auf deinem Rechner alles sieht: In den Ordneroptionen sollte zuerst das Häkchen entfernt werden bei "geschützte Systemdateien ausblenden" und etwas weiter unten wählt man bei "Versteckte Ordner und Verzeichnisse" den Punkt "Alle Dateien und Ordner anzeigen".

führe einen Scan mit mwavscan durch
1) Lege einen Ordner c:\bases an (Einführung in Windows)
2) Download der mwav.exe
3) Entpacke (mit einem Zip-Programm SIMPLYZIP) !!! Die Datei mwav.exe MUSS in diesen ordner c:\bases entpackt werden. wenn der Pfad nicht genau so angegeben wird, funktioniert der scanner/updater nicht!
4) Doppelklick auf die Datei kavupd.exe, damit wird der update gestartet.
5) Wechsle in den abgesicherten Modus von Windows
6) Öffne den Explorer, navigiere zum Ordner c:\bases, starte mwavscan.com, schließe den Explorer.
7) Überprüfe die Einstellungen, unter scan option-->memory, startup folders, registry, system folders und services sowie drive (auswahl) und scan all files sollten aktiviert sein, dann den Button *SCAN/CLEAN* drücken.
8) Wenn der Scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen Modus.
9) Nun öffnest du mit einem Editor die mwav.log und wählst unter bearbeiten -> suchen, hier gibst du "virus" ein

jede Zeile in der "virus" steht, markieren, und hier einfügen, weitersuchen usw.

(Beispiel: file C:\WINDOWS\sssasasb32.exe infected by "Trojan-Downloader.Win32.Agent.ig" Virus. Action: Action Taken)

Ganz unten steht die Zusammenfassung, diese auch hier posten

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****

[Einnotter]

Hallo,

habe alle Schritte durchgeführt und poste daher nun die Vire-Zeilen des mwav-logs:
Grüße Heiko

Code:

Mon Mar 07 15:10:28 2005 => eScan AntiVirus Toolkit Utility.
Mon Mar 07 15:10:34 2005 => Scanning File C:\bases\virus.avi
Mon Mar 07 15:10:34 2005 => Virus Database Date: 2005/03/07
Mon Mar 07 15:10:34 2005 => Virus Database Count: 120677
Mon Mar 07 15:11:21 2005 => eScan AntiVirus Toolkit Utility.
Mon Mar 07 15:11:24 2005 => File C:\Programme\TightVNC\WinVNC.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.h. No Action Taken.
Mon Mar 07 15:11:34 2005 => File C:\Programme\TightVNC\WinVNC.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.h. No Action Taken.
Mon Mar 07 15:13:40 2005 => Scanning File C:\bases\virus.avi
Mon Mar 07 15:13:40 2005 => Scanning File C:\bases\virus001.avc
Mon Mar 07 15:13:40 2005 => Scanning File C:\bases\virus002.avc
Mon Mar 07 15:13:40 2005 => Scanning File C:\bases\virus003.avc
Mon Mar 07 15:13:40 2005 => Scanning File C:\bases\virus004.avc
Mon Mar 07 15:13:40 2005 => Scanning File C:\bases\virus005.avc
Mon Mar 07 15:13:40 2005 => Scanning File C:\bases\virus006.avc
Mon Mar 07 15:13:40 2005 => Scanning File C:\bases\virus007.avc
Mon Mar 07 15:13:40 2005 => Scanning File C:\bases\virus008.avc
Mon Mar 07 15:13:40 2005 => Scanning File C:\bases\virus009.avc
Mon Mar 07 15:13:40 2005 => Scanning File C:\bases\virus010.avc
Mon Mar 07 15:13:40 2005 => Scanning File C:\bases\virus011.avc
Mon Mar 07 15:13:40 2005 => Scanning File C:\bases\virus012.avc
Mon Mar 07 15:13:40 2005 => Scanning File C:\bases\virus013.avc
Mon Mar 07 15:13:40 2005 => Scanning File C:\bases\virus014.avc
Mon Mar 07 15:13:40 2005 => Scanning File C:\bases\virus015.avc
Mon Mar 07 15:13:40 2005 => Scanning File C:\bases\virus016.avc
Mon Mar 07 15:13:40 2005 => Scanning File C:\bases\virus017.avc
Mon Mar 07 15:13:40 2005 => Scanning File C:\bases\virus018.avc
Mon Mar 07 15:13:40 2005 => Scanning File C:\bases\virus019.avc
Mon Mar 07 15:13:40 2005 => Scanning File C:\bases\virus020.avc
Mon Mar 07 15:14:35 2005 => Scanning File C:\Dokumente und Einstellungen\Notter.WENDLER\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\virus.LNK
Mon Mar 07 15:15:02 2005 => Scanning Folder: C:\Dokumente und Einstellungen\Notter.WENDLER\Desktop\heiko\Diplom\research\05März_2005\virus\*.*
Mon Mar 07 15:15:02 2005 => Scanning File C:\Dokumente und Einstellungen\Notter.WENDLER\Desktop\heiko\Diplom\research\05März_2005\virus\Effektive Mund.doc
Mon Mar 07 15:15:02 2005 => Scanning File C:\Dokumente und Einstellungen\Notter.WENDLER\Desktop\heiko\Diplom\research\05März_2005\virus\virale effekte.doc
Mon Mar 07 15:15:02 2005 => Scanning File C:\Dokumente und Einstellungen\Notter.WENDLER\Desktop\heiko\Diplom\research\05März_2005\virus\virusmarketing1.doc
Mon Mar 07 15:15:02 2005 => Scanning File C:\Dokumente und Einstellungen\Notter.WENDLER\Desktop\heiko\Diplom\research\05März_2005\virus\virusmarketing2.doc
Mon Mar 07 15:17:52 2005 => Scanning File C:\Dokumente und Einstellungen\Notter.WENDLER\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K1AF8HQF\virusinfo[1].gif
Mon Mar 07 15:18:28 2005 => Scanning File C:\Dokumente und Einstellungen\Notter.WENDLER\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PZ3LFPNK\virusScanPopup[1].htm
Mon Mar 07 15:18:28 2005 => Scanning File C:\Dokumente und Einstellungen\Notter.WENDLER\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PZ3LFPNK\virusScanPopup[2].htm
Mon Mar 07 15:18:28 2005 => Scanning File C:\Dokumente und Einstellungen\Notter.WENDLER\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PZ3LFPNK\virusScanPopup[3].htm
Mon Mar 07 15:18:31 2005 => File C:\Dokumente und Einstellungen\Notter.WENDLER\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QDGBI9A5\about_blank[1] tagged as not-a-virus:AdWare.SearchPage. No Action Taken.
Mon Mar 07 15:18:38 2005 => File C:\Dokumente und Einstellungen\Notter.WENDLER\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SRXV66V5\get_js2[1].txt infected by "Trojan-Downloader.VBS.Phel.f" Virus. Action Taken: File Deleted.
Mon Mar 07 15:19:09 2005 => Scanning File C:\Dokumente und Einstellungen\Notter.WENDLER\Recent\virus.lnk
Mon Mar 07 15:19:15 2005 => Scanning File C:\Downloads\virus001.avc
Mon Mar 07 15:19:15 2005 => Scanning File C:\Downloads\virus002.avc
Mon Mar 07 15:19:15 2005 => Scanning File C:\Downloads\virus003.avc
Mon Mar 07 15:19:15 2005 => Scanning File C:\Downloads\virus004.avc
Mon Mar 07 15:19:15 2005 => Scanning File C:\Downloads\virus005.avc
Mon Mar 07 15:19:15 2005 => Scanning File C:\Downloads\virus006.avc
Mon Mar 07 15:19:15 2005 => Scanning File C:\Downloads\virus007.avc
Mon Mar 07 15:19:15 2005 => Scanning File C:\Downloads\virus008.avc
Mon Mar 07 15:19:15 2005 => Scanning File C:\Downloads\virus009.avc
Mon Mar 07 15:19:15 2005 => Scanning File C:\Downloads\virus010.avc
Mon Mar 07 15:19:15 2005 => Scanning File C:\Downloads\virus011.avc
Mon Mar 07 15:19:15 2005 => Scanning File C:\Downloads\virus012.avc
Mon Mar 07 15:19:16 2005 => Scanning File C:\Downloads\virus013.avc
Mon Mar 07 15:19:16 2005 => Scanning File C:\Downloads\virus014.avc
Mon Mar 07 15:19:16 2005 => Scanning File C:\Downloads\virus015.avc
Mon Mar 07 15:19:16 2005 => Scanning File C:\Downloads\virus016.avc
Mon Mar 07 15:19:16 2005 => Scanning File C:\Downloads\virus017.avc
Mon Mar 07 15:19:16 2005 => Scanning File C:\Downloads\virus018.avc
Mon Mar 07 15:19:16 2005 => Scanning File C:\Downloads\virus019.avc
Mon Mar 07 15:19:16 2005 => Scanning File C:\Downloads\virus020.avc
Mon Mar 07 15:23:47 2005 => File C:\PnPDrvrs\8640DC\Vga\AGP\AGP\htpatch\HTpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.b. No Action Taken.
Mon Mar 07 15:28:24 2005 => File C:\Programme\AVPersonal\INFECTED\A0008978.HTA.VIR infected by "Trojan-Downloader.VBS.Psyme.av" Virus. Action Taken: File Deleted.
Mon Mar 07 15:28:24 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\SE.DLL.001
Mon Mar 07 15:28:24 2005 => File C:\Programme\AVPersonal\INFECTED\SE.DLL.001 infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: File Deleted.

Mon Mar 07 15:28:24 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\SE.DLL.002
Mon Mar 07 15:28:24 2005 => File C:\Programme\AVPersonal\INFECTED\SE.DLL.002 infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: File Deleted.

Mon Mar 07 15:28:24 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\SE.DLL.003
Mon Mar 07 15:28:24 2005 => File C:\Programme\AVPersonal\INFECTED\SE.DLL.003 infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: File Deleted.

Mon Mar 07 15:28:24 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\SE.DLL.004
Mon Mar 07 15:28:24 2005 => File C:\Programme\AVPersonal\INFECTED\SE.DLL.004 infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: File Deleted.

Mon Mar 07 15:28:24 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\SE.DLL.VIR
Mon Mar 07 15:28:24 2005 => File C:\Programme\AVPersonal\INFECTED\SE.DLL.VIR infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: File Deleted.
Mon Mar 07 15:37:16 2005 => File C:\Programme\TightVNC\VNCHooks.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.b. No Action Taken.
Mon Mar 07 15:37:19 2005 => File C:\Programme\TightVNC\WinVNC.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.h. No Action Taken.
Mon Mar 07 15:58:46 2005 => ***** Checking for specific ITW Viruses *****
Mon Mar 07 15:58:46 2005 => Checking for Welchia Virus...
Mon Mar 07 15:58:46 2005 => Checking for LovGate Virus...
Mon Mar 07 15:58:46 2005 => Checking for CodeRed Virus...
Mon Mar 07 15:58:46 2005 => Checking for OpaServ Virus...
Mon Mar 07 15:58:46 2005 => Checking for Sobig.e Virus...
Mon Mar 07 15:58:46 2005 => Checking for Winupie Virus...
Mon Mar 07 15:58:46 2005 => Checking for Swen Virus...
Mon Mar 07 15:58:46 2005 => Checking for JS.Fortnight Virus...
Mon Mar 07 15:58:46 2005 => Checking for Novarg Virus...
Mon Mar 07 15:58:46 2005 => Checking for Pagabot Virus...
Mon Mar 07 15:58:46 2005 => Checking for Parite.b Virus...
Mon Mar 07 15:58:46 2005 => Checking for Parite.a Virus...

Mon Mar 07 15:58:46 2005 => ***** Scanning complete. *****
 
Mon Mar 07 15:58:46 2005 => Total Number of Files Scanned: 48488
Mon Mar 07 15:58:46 2005 => Total Number of Virus(es) Found: 13
Mon Mar 07 15:58:46 2005 => Total Number of Disinfected Files: 0
Mon Mar 07 15:58:46 2005 => Total Number of Files Renamed: 0
Mon Mar 07 15:58:46 2005 => Total Number of Deleted Files: 7
Mon Mar 07 15:58:46 2005 => Total Number of Errors: 2
Mon Mar 07 15:58:46 2005 => Time Elapsed: 00:47:14
Mon Mar 07 15:58:46 2005 => Virus Database Date: 2005/03/07
Mon Mar 07 15:58:46 2005 => Virus Database Count: 120677
 
Mon Mar 07 15:58:46 2005 => Scan Completed.
 
Mon Mar 07 16:08:46 2005 => Virus Database Date: 2005/03/07
Mon Mar 07 16:08:46 2005 => Virus Database Count: 120677
Mon Mar 07 16:08:50 2005 => AV Library Unloaded (3)...

ist mir nun geholfen? oder gehts noch weiter?
Warte gespannt

[Ruby]

Hallo Einnotter,

da du einen Startseiten-Trojaner auf deinem Rechner hast, geht es solange weiter, bis wir es geschafft haben, ihn los zu werden. Und das wird ein Weilchen dauern.

Lade Ad-Aware SE runter, installiere es, update es online und führe es offline im abgesicherten Modus aus. Schalte alle roten Häkchen um auf grün, mach einen Full-System-Scan. Wenn das Programm fertig ist, speichere das Logfile ab. Leere dann die vollen Mülleiner von Ad-Aware, respektieve die Ordner von Ad-Aware. Boote in den normalen Modus.

Lade StartDreck runter.

Entpacke Startdreck in einen eigenen Ordner c:\startdreck.
Doppelklick auf Startdreck.exe
Wenn sich das Programm öffnet, klicke auf den Config Button.
Klick dann auf den Unmark All Button.
Setze die Häkchen:
Unter "Registry" in der "Run Keys checkbox".
Unter "System/Drivers" in der "Running Proccess checkbox".
Drücke auf den OK Button.
Drücke auf den Save Button.
Speichere das Logfile im gleichen Ordner wo auch das Pogramm läuft.
Es wird dann den Namen "StartDreck.log" tragen.

Lade Registrar Lite runter, lerne damit umgehen, ohne etwas damit zu machen. Schau dir das Programm an, lerne seine Funktionen kennen, schau dich in der Registry um, aber mach nichts dort! Du sollst nur lernen, wie Registrar Lite funktioniert.

Poste dann bitte die Logfiles von Ad-Aware, Startdreck und ein neues Hijack this Logfile.

[Einnotter]

Eijeijei,

hoffe, dass ich alles richtig gemacht habe:

AdWare:

Code:

Ad-Aware SE Build 1.05
Logfile Created on:Montag, 7. März 2005 18:08:23
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R29 05.03.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
CoolWebSearch(TAC index:10):13 total references
MRU List(TAC index:0):12 total references
Possible Browser Hijack attempt(TAC index:3):1 total references
Tracking Cookie(TAC index:3):3 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


07.03.2005 18:08:23 - Scan started. (Full System Scan)

 MRU List Object Recognized!
    Location:          : software\microsoft\directdraw\mostrecentapplication
    Description        : most recent application to use microsoft directdraw


 MRU List Object Recognized!
    Location:          : S-1-5-21-3875480366-1272932111-4272244160-1004\software\microsoft\microsoft management console\recent file list
    Description        : list of recent snap-ins used in the microsoft management console


 MRU List Object Recognized!
    Location:          : S-1-5-21-3875480366-1272932111-4272244160-1004\software\microsoft\internet explorer\typedurls
    Description        : list of recently entered addresses in microsoft internet explorer


 MRU List Object Recognized!
    Location:          : S-1-5-21-3875480366-1272932111-4272244160-1004\software\microsoft\direct3d\mostrecentapplication
    Description        : most recent application to use microsoft direct3d


 MRU List Object Recognized!
    Location:          : software\microsoft\direct3d\mostrecentapplication
    Description        : most recent application to use microsoft direct3d


 MRU List Object Recognized!
    Location:          : S-1-5-21-3875480366-1272932111-4272244160-1004\software\microsoft\direct3d\mostrecentapplication
    Description        : most recent application to use microsoft direct X


 MRU List Object Recognized!
    Location:          : software\microsoft\direct3d\mostrecentapplication
    Description        : most recent application to use microsoft direct X


 MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\windows media\wmsdk\general
    Description        : windows media sdk 


 MRU List Object Recognized!
    Location:          : S-1-5-18\software\microsoft\windows media\wmsdk\general
    Description        : windows media sdk 


 MRU List Object Recognized!
    Location:          : S-1-5-21-3875480366-1272932111-4272244160-1004\software\microsoft\windows media\wmsdk\general
    Description        : windows media sdk 


 MRU List Object Recognized!
    Location:          : C:\Dokumente und Einstellungen\Notter\Anwendungsdaten\microsoft\office\recent
    Description        : list of recently opened documents using microsoft office


 MRU List Object Recognized!
    Location:          : C:\Dokumente und Einstellungen\Notter\recent
    Description        : list of recently opened documents


Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
    FilePath           : \SystemRoot\System32\
    ProcessID          : 156
    ThreadCreationTime : 07.03.2005 17:05:29
    BasePriority       : Normal


#:2 [csrss.exe]
    FilePath           : \??\C:\WINDOWS\system32\
    ProcessID          : 204
    ThreadCreationTime : 07.03.2005 17:05:37
    BasePriority       : Normal


#:3 [winlogon.exe]
    FilePath           : \??\C:\WINDOWS\system32\
    ProcessID          : 228
    ThreadCreationTime : 07.03.2005 17:05:38
    BasePriority       : High


#:4 [services.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 272
    ThreadCreationTime : 07.03.2005 17:05:42
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Betriebssystem Microsoft® Windows®
    CompanyName        : Microsoft Corporation
    FileDescription    : Anwendung für Dienste und Controller
    InternalName       : services.exe
    LegalCopyright     : © Microsoft Corporation. Alle Rechte vorbehalten.
    OriginalFilename   : services.exe

#:5 [lsass.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 284
    ThreadCreationTime : 07.03.2005 17:05:42
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : LSA Shell (Export Version)
    InternalName       : lsass.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : lsass.exe

#:6 [svchost.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 428
    ThreadCreationTime : 07.03.2005 17:05:45
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:7 [svchost.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 484
    ThreadCreationTime : 07.03.2005 17:05:46
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:8 [svchost.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 528
    ThreadCreationTime : 07.03.2005 17:05:47
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:9 [explorer.exe]
    FilePath           : C:\WINDOWS\
    ProcessID          : 728
    ThreadCreationTime : 07.03.2005 17:05:53
    BasePriority       : Normal
    FileVersion        : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 6.00.2900.2180
    ProductName        : Betriebssystem Microsoft® Windows®
    CompanyName        : Microsoft Corporation
    FileDescription    : Windows Explorer
    InternalName       : explorer
    LegalCopyright     : © Microsoft Corporation. Alle Rechte vorbehalten.
    OriginalFilename   : EXPLORER.EXE

#:10 [ad-aware.exe]
    FilePath           : C:\Programme\Lavasoft\Ad-Aware SE Personal\
    ProcessID          : 972
    ThreadCreationTime : 07.03.2005 17:07:16
    BasePriority       : Normal
    FileVersion        : 6.2.0.206
    ProductVersion     : VI.Second Edition
    ProductName        : Lavasoft Ad-Aware SE
    CompanyName        : Lavasoft Sweden
    FileDescription    : Ad-Aware SE Core application
    InternalName       : Ad-Aware.exe
    LegalCopyright     : Copyright © Lavasoft Sweden
    OriginalFilename   : Ad-Aware.exe
    Comments           : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 12


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 CoolWebSearch Object Recognized!
    Type               : RegValue
    Data               : 
    Category           : Malware
    Comment            : "HOMEOldSP"
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : software\microsoft\internet explorer\main
    Value              : HOMEOldSP

 Possible Browser Hijack attempt Object Recognized!
    Type               : RegValue
    Data               : 
    Category           : Malware
    Comment            : "sp"
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : software\microsoft\windows\currentversion\run
    Value              : sp

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 2
Objects found so far: 14


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 14


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : notter@mediaplex[1].txt
    Category           : Data Miner
    Comment            : Hits:1
    Value              : Cookie:notter@mediaplex.com/
    Expires            : 22.06.2009 01:00:00
    LastSync           : Hits:1
    UseCount           : 0
    Hits               : 1

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 1
Objects found so far: 15



Deep scanning and examining files (C:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : notter@as1.falkag[2].txt
    Category           : Data Miner
    Comment            : 
    Value              : C:\Dokumente und Einstellungen\Notter.WENDLER\Cookies\notter@as1.falkag[2].txt

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : notter@tribalfusion[1].txt
    Category           : Data Miner
    Comment            : 
    Value              : C:\Dokumente und Einstellungen\Notter.WENDLER\Cookies\notter@tribalfusion[1].txt

Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 17


Deep scanning and examining files (D:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for D:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 17


Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 17




Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 CoolWebSearch Object Recognized!
    Type               : Regkey
    Data               : 
    Category           : Malware
    Comment            : 
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : protocols\filter\text/plain

 CoolWebSearch Object Recognized!
    Type               : RegValue
    Data               : 
    Category           : Malware
    Comment            : 
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : protocols\filter\text/plain
    Value              : CLSID

 CoolWebSearch Object Recognized!
    Type               : Regkey
    Data               : 
    Category           : Malware
    Comment            : 
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : protocols\filter\text/html

 CoolWebSearch Object Recognized!
    Type               : RegValue
    Data               : 
    Category           : Malware
    Comment            : 
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : protocols\filter\text/html
    Value              : CLSID

 CoolWebSearch Object Recognized!
    Type               : Regkey
    Data               : 
    Category           : Malware
    Comment            : CWS.About:Blank
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : software\microsoft\windows\currentversion\uninstall\searchassistant uninstall

 CoolWebSearch Object Recognized!
    Type               : RegValue
    Data               : 
    Category           : Malware
    Comment            : CWS.About:Blank
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : software\microsoft\windows\currentversion\uninstall\searchassistant uninstall
    Value              : DisplayName

 CoolWebSearch Object Recognized!
    Type               : RegValue
    Data               : 
    Category           : Malware
    Comment            : CWS.About:Blank
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : software\microsoft\windows\currentversion\uninstall\searchassistant uninstall
    Value              : UninstallString

 CoolWebSearch Object Recognized!
    Type               : RegValue
    Data               : 
    Category           : Malware
    Comment            : 
    Rootkey            : HKEY_CURRENT_USER
    Object             : software\microsoft\internet explorer\main
    Value              : Search Bar

 CoolWebSearch Object Recognized!
    Type               : RegValue
    Data               : 
    Category           : Malware
    Comment            : 
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : software\microsoft\internet explorer\main
    Value              : Use Custom Search URL

 CoolWebSearch Object Recognized!
    Type               : RegValue
    Data               : 
    Category           : Malware
    Comment            : 
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : software\microsoft\internet explorer\main
    Value              : Use Search Asst

 CoolWebSearch Object Recognized!
    Type               : RegValue
    Data               : 
    Category           : Malware
    Comment            : 
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : software\classes\protocols\filter\text/html
    Value              : CLSID

 CoolWebSearch Object Recognized!
    Type               : RegData
    Data               : no
    Category           : Malware
    Comment            : 
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : software\microsoft\internet explorer\main
    Value              : Use Search Asst
    Data               : no

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 12
Objects found so far: 29

18:14:32 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:06:08.400
Objects scanned:98349
Objects identified:17
Objects ignored:0
New critical objects:17

Startdreck:

Code:

StartDreck (build 2.1.7 public stable) - 2005-03-07 @ 21:12:07 (GMT +01:00)
Platform: Windows XP (Win NT 5.1.2600 Service Pack 2)
Internet Explorer: 6.0.2900.2180
Logged in as notter at WS-NOTTER-2

»Registry
 »Run Keys
  »Current User
   »Run
    *CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
   »RunOnce
  »Default User
   »Run
    *CTFMON.EXE=C:\WINDOWS\system32\CTFMON.EXE
   »RunOnce
  »Local Machine
   »Run
    *SoundMan=SOUNDMAN.EXE
    *SynTPLpr=C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    *SynTPEnh=C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    *CHotKey=MHOTKEY.exe
    *IgfxTray=C:\WINDOWS\system32\igfxtray.exe
    *HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
    *RemoteControl=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    *NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe
    *InCD=C:\Programme\Ahead\InCD\InCD.exe
    *WinVNC="C:\Programme\TightVNC\WinVNC.exe" -servicehelper
    *ScheduleSync.Siemens.SmartSync.5.2.exe=C:\Programme\Siemens\SmartSync\ScheduleSync.exe
    *AVGCtrl=C:\Programme\AVPersonal\AVGNT.EXE /min
    *AVSCHED32=C:\Programme\AVPersonal\AVSched32.EXE /min
    *gcasServ="C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
    +OptionalComponents
     +MSFS
      *Installed=1
     +MAPI
      *NoChange=1
      *Installed=1
     +MAPI
      *NoChange=1
      *Installed=1
   »RunOnce
   »RunServices
   »RunServicesOnce
   »RunOnceEx
   »RunServicesOnceEx
»Files
»System/Drivers
 »Running Processes
  +0=<idle>
  +4=<system>
  +980=\SystemRoot\System32\smss.exe
  +1032=\??\C:\WINDOWS\system32\csrss.exe
  +1056=\??\C:\WINDOWS\system32\winlogon.exe
  +1100=C:\WINDOWS\system32\services.exe
  +1112=C:\WINDOWS\system32\lsass.exe
  +1264=C:\WINDOWS\system32\svchost.exe
  +1360=C:\WINDOWS\system32\svchost.exe
  +1396=C:\WINDOWS\System32\svchost.exe
  +1420=C:\Programme\Ahead\InCD\InCDsrv.exe
  +1556=C:\WINDOWS\system32\svchost.exe
  +1764=C:\WINDOWS\system32\svchost.exe
  +2008=C:\WINDOWS\system32\spoolsv.exe
  +864=C:\Programme\AVPersonal\AVGUARD.EXE
  +884=C:\Programme\AVPersonal\AVWUPSRV.EXE
  +564=C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
  +1664=C:\WINDOWS\Explorer.EXE
  +1740=C:\WINDOWS\system32\wdfmgr.exe
  +1900=C:\Programme\TightVNC\WinVNC.exe
  +1924=C:\WINDOWS\SOUNDMAN.EXE
  +1932=C:\Programme\Synaptics\SynTP\SynTPLpr.exe
  +1940=C:\Programme\Synaptics\SynTP\SynTPEnh.exe
  +128=C:\WINDOWS\MHOTKEY.exe
  +192=C:\WINDOWS\system32\igfxtray.exe
  +208=C:\WINDOWS\system32\hkcmd.exe
  +220=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
  +244=C:\Programme\Ahead\InCD\InCD.exe
  +280=C:\Programme\AVPersonal\AVGNT.EXE
  +288=C:\Programme\AVPersonal\AVSched32.EXE
  +316=C:\Programme\Microsoft AntiSpyware\gcasServ.exe
  +324=C:\WINDOWS\system32\ctfmon.exe
  +412=C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
  +2136=C:\WINDOWS\System32\alg.exe
  +3328=C:\WINDOWS\system32\wuauclt.exe
  +3648=C:\Programme\Microsoft Office\Office\WINWORD.EXE
  +492=C:\startdreck\StartDreck.exe
»Application specific

und hijack this:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 21:13:31, on 07.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TightVNC\WinVNC.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\MHOTKEY.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\NOTTER~1.WEN\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lionelectronics.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\NOTTER~1.WEN\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nero.com/de/download.php?id=1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {F19CB2AB-C7B3-49E6-A964-01CC579CDC72} - C:\WINDOWS\system32\epdp.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CHotKey] MHOTKEY.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [ScheduleSync.Siemens.SmartSync.5.2.exe] C:\Programme\Siemens\SmartSync\ScheduleSync.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.lionelectronics.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Wendler
O17 - HKLM\Software\..\Telephony: DomainName = Wendler
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Wendler
O18 - Filter: text/html - {636F493C-2D7A-4EA6-ABE0-2F8EB06BC07F} - C:\WINDOWS\system32\epdp.dll
O18 - Filter: text/plain - {636F493C-2D7A-4EA6-ABE0-2F8EB06BC07F} - C:\WINDOWS\system32\epdp.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\TightVNC\WinVNC.exe" -service (file missing)

Beim Onlinegehen, also zum Beispiel hierher, kommt jetzt öfter die Meldung, dass die Verbindung zurückgesetzt wurd ...?

Ausserdem beim Hochfahren die Meldung von AntiVir, dass eine bestimmte Datei ein Trojaner sein. Im weiteren Verlauf (egal welche Aktion ich vornehme) kommt eine Windows-Meldung, dass die Datei soundso..se.DLL oder ähnlich nicht gefunden wurde.

Grüße

Heiko

[Ruby]

Hallo Einnotter,

dankeschön für diesen tollen Logfiles! Dann können wir ja endlich weitermachen, ich warte ja schon auf dich. Lade dir bitte folgende Programme runter und lies die Anleitungen:

auf dem Desktop installieren: Dllcompare - mit CompareDll Anleitung.

CWShredder.exe - CWShredder Anleitung

Registrar Lite

KillBox - auf dem Desktop installieren.

Cleanup
IE Privacy Keeper 2.3
DELLATER.ZIP auf dem Desktop installieren, ausführen und auf ok klicken.

Installiere jedes Programm in einem eigenen Ordner und führe alle Programme aus. Übe schon mal ein bisschen mit Registrar Lite, schau dir das Programm genau an, damit editiert man seine Registry und genau das werden wir beide gleich miteinander machen. das heisst, ich zeige dir, wie es geht und du machst es. Dazu solltest du das Programm kennen und damit umgehen können. Alle Programme müssen startklar sein, und! Du darfst nicht mehr booten, wenn wir anfangen dein System wieder in Ordnung zu bringen. Du darfst erst wieder booten, wenn ich es dir erlaube. Sonst war alle Arbeit umsonst. Die DLL-Dateien ändern sich bei jedem neuen Start des Rechners. Du musst dann auch offline arbeiten, im abgesicherten Modus.

Aber soweit sind wir noch nicht. Poste bitte nochmal ein neues HijackThis Logfile und boote dann danach bitte nicht mehr! Wenn du das letzte HJT-Logfile gepostet hast, mache ich mich ans Werk, den Plan auszuarbeiten, nach dem du deinen Rechner wieder in Ordnung bringen kannst.

Es wird empfohlen ein back-Up der Registry zu machen, bevor man sie editiert:
Anleitung zum Registry Back Up

Nachtrag:

Öffne die Datei "hosts" auf deinem System:
START -> Windows Explorer -> C:\Windows\System32\Drivers\Etc

kopiere den Inhalt der Datei und poste ihn. Wie ich gerade gesehen habe, ist deine hosts-Datei auch nicht ganz in Ordnung. Du kannst HostsToggle verwenden, um die hosts Datei in Ordnung zu bringen. Wie das geht, sage ich dir, wenn ich den Inhalt deiner hosts Datei gesehen habe.