hallo zusammen,
gestern hatten sich auf meinem computer plötzlich automatisch 40 (!!!) internet explorer-fenster geöffnet. also habe ich meinen computer neugestartet und festgestellt, dass der explorer danach ÜBERHAUPT ned mehr funktionierte (automatisch startet immer ein fenster mit der adresse "people.freenet.de...".) da und auch bei jedem i explorer-fenster, das ich selber öffne, steht jedes mal "seite konnte nicht gefunden werden fehler: DNS or server konnte nicht gefunden werden". ich habe den iexplorer deinstalliert, erhalte aber dennoch ein ie-fenster mit der einen o.g. adresse drin. wieder dieselbe fehlermeldung.
mein t-online browser funktioniert einwandfrei.
gerade habe ich festgestellt, dass ich "180searchassistant" auf meinem rechner hab, "admanager controller" und "search relevancy" sind auch neu. habe versucht, "180searchassistant" zu deinstallieren. erhalte dann die meldung, dass ich online sein muss und wenn ich dann online auf ok klicke, passiert nix. ich vermute, weil mein internet explorer ja nichts mehr tut.

BITTE BITTE helft mir und sagt mir, was ich da tun kann!
Vielen Dank schonmal!
nadjax

PS.: SpyBot und Norton finden natürlich nix.

Hallo nadjax

Zitat:

gestern hatten sich auf meinem computer plötzlich automatisch 40 (!!!) internet explorer-fenster geöffnet.
....
BITTE BITTE helft mir und sagt mir, was ich da tun kann!

http://faq.underflow.de/#SECTION000120000000000000000

Danke :-) Aber z.B. Spybot und Norton stellen nix fest. gibt es da ned eine genaue instruktion? oder kennt jemand überhaupt ein programm, dass mir definitiv sagen kann, was da auf meinem pc vor sich geht? wie z.B. erkenne ich, um welche art von kompromittierung es sich handelt, bzw. ob ich überhaupt von einer betroffen bin?
lg

@nadjax
poste doch mal ein HJT logfile
download
anleitung
chaosman

Logfile of HijackThis v1.99.0
Scan saved at 20:12:57, on 16.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\PROGRA~1\NORTON~3\NORTON~3\NPROTECT.EXE
C:\PROGRA~1\NORTON~3\NORTON~3\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\Programme\MSN Apps\Updater\01.02.0002.1001\en-us\msnappau.exe
C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\recycler\mActiveX.exe
C:\Program Files\Admanager Controller\AdManCtl.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Admanager Controller\AdManKeep.exe
C:\WINDOWS\System32\wuampd.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\Programme\T-Online\T-Online_Software_5\Browser\browser.exe
C:\Dokumente und Einstellungen\Guest\Eigene Dateien\Wohinsonst\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/e60/
R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~2.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Dokumente und Einstellungen\Guest\Lokale Einstellungen\Temp\msntb.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\en-us\msnappau.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe
O4 - HKLM\..\Run: [REGRUN] C:\recycler\mActiveX.exe
O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager Controller\AdManCtl.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [cxcdgz] C:\WINDOWS\cxcdgz.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_04\bin\npjpi141_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_04\bin\npjpi141_04.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CD...bridge-c15.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by102fd.bay102.hotmail.msn.co...s/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099868778882
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://static.photobox.co.uk/sg/common/uploader.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.comp...bio5_1_6_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7AD6EA6-77E1-48CC-8019-873EF5548EAD}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Internet Security Service - Symantec Corporation - C:\Programme\Norton Internet Security\NISSERV.EXE
O23 - Service: Norton Internet Security Accounts Manager - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~3\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~3\SPEEDD~1\NOPDB.EXE
O23 - Service: Norton Internet Security Proxy Service - Symantec Corporation - C:\Programme\Norton Internet Security\SymProxySvc.exe



okay und nun? danke schonmal!

Tach,

dein System ist Marke "gehört sofort vom Netz"!

Du hast einige sehr gefährliche Backdoor Trojaner auf dem Rechner!

Das heisst leider Format c: zu machen,beachte folgenden Thread von Cidre und desen Tipps

http://trojaner-board.de/showthread.php?t=12154

Gruss

aaaalllso,
nachdem GARNIX mehr ging (kam ned mehr ins netz etc.), habe ich alles gesichert, neu formatiert und xp neu draufgespielt.
wie kann ich sicherstellen, dass ich mir den sch**** nicht wieder einfang? offensichtlich hat norton ja nix gebracht.
vielen dank schonmal
LG

Hallo nadjax

Zitat:

wie kann ich sicherstellen, dass ich mir den sch**** nicht wieder einfang?

System richtig konfigurieren
http://faq.underflow.de/#SECTION000110000000000000000

Zitat:

offensichtlich hat norton ja nix gebracht.

FULL ACK! Und installiere diese Sch... nicht mehr.

cool, da schau ich direkt mal rein. danke.
also, du meinst norton bringt nix? und was gibts dann für ne alternative?

kann es übrigens sein, dass solche trojaner bios angreifen? nee, oder?
lg!

Zitat:

also, du meinst norton bringt nix?

Ich? Nee. Das ist die Stimme des Volkes.

Zitat:

und was gibts dann für ne alternative?

Brain V 1.5 und höhe. Dazu kann man KAV oder McAfee kaufen sowie AVPersonal oder AVG 7 Free kostenlos herunterladen.

Zitat:

kann es übrigens sein, dass solche trojaner bios angreifen? nee, oder?

Das kann nicht passieren. Und die BIOS-Viren kommen relativ selten vor.

Zitat:

Zitat von Rene-gad

Brain V 1.5 und höhe. Dazu kann man KAV oder McAfee kaufen sowie AVPersonal oder AVG 7 Free kostenlos herunterladen.

und wo finde ich dieses brain? habs nirgends finden können...