Hallo,

ich habe seit kurzer Zeit ein Problem mit meinem PC, bei dem ich mir echt nicht mehr zu helfen weiss...

Es scheint, als hätte ich mir irgendwo eine Menge Trojaner eingefangen - bis jetzt nichts aufregendes. Diese habe ich versucht mit Ad-Aware, Spybot, CWSHredder, etc zu beseitigen.

Laut Spybot sind es auch wesentlich weniger geworden, nur leider habe ich das Problem, dass permanent der Internet Explorer dämliche Werbeseiten öffnet.

Wenn ich den PC mal einige Stunden nicht nutze und nach Hause komme, finde ich meist mehrere neue Werbeseiten offen.

Da ich Firefox nutze habe ich versucht den IE zu deinstallieren. Hat bei mir leider weder mit Einstellungen ==> Software, noch mit dem IEradicator funktioniert.

Ein Beispiel für die aufpoppenden Seiten ist: http://69.20.56.3/yyy6.html

Ich hoffe ihr könnt mir weiter helfen...

Falls nötig, poste ich noch schnell mein HiJackThis-log:

Logfile of HijackThis v1.98.2
Scan saved at 13:29:44, on 28.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Symphony\sw_serv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\winwi.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RunDll32.exe
C:\WINNT\system32\crck.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Symphony\maestro.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\System32\MsiExec.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\ME\Desktop\Anti-Spyware\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\wnrbw.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\wnrbw.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\wnrbw.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\wnrbw.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\wnrbw.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\wnrbw.dll/sp.html#11111
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\wnrbw.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {91DFD83B-7B64-4251-C3E8-EE04FBDA7145} - C:\WINNT\ipfi.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [HGTXPEI] C:\WINNT\system32\FirstReboot.exe
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [crck.exe] C:\WINNT\system32\crck.exe
O4 - HKLM\..\Run: [sdkov.exe] C:\WINNT\system32\sdkov.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: T-Sinus 930 Konfiguration.lnk = C:\Programme\Symphony\maestro.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000


Vielen Dank

Sebastian

Hallo,

Zitat:

Da ich Firefox nutze habe ich versucht den IE zu deinstallieren. Hat bei mir leider weder mit Einstellungen ==> Software, noch mit dem IEradicator funktioniert.

Der IE sollte auch nicht deinstalliert werden, da dieser zu sehr im System verankert ist und dies zur Instabilität des Systems führen kann.

Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Wechsle in den abgesicherten Modus http://www.trojaner-board.de/63335-w...s-starten.html und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\wnrbw.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\wnrbw.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\wnrbw.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\wnrbw.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\wnrbw.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\wnrbw.dll/sp.html#11111
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\wnrbw.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {91DFD83B-7B64-4251-C3E8-EE04FBDA7145} - C:\WINNT\ipfi.dll
O4 - HKLM\..\Run: [crck.exe] C:\WINNT\system32\crck.exe
O4 - HKLM\..\Run: [sdkov.exe] C:\WINNT\system32\sdkov.exe

Lösche diese Dateien:
C:\WINNT\system32\crck.exe
C:\WINNT\system32\sdkov.exe
C:\WINNT\system32\wnrbw.dll
C:\WINNT\ipfi.dll
C:\WINNT\winwi.exe

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html
- neue Startseite vergeben
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- neues Log-File von HijackThis und die Virus Log Information von eScan posten

moin,habe wohl das gleich prob wie oben geschildert.nach einer gewissen zeit öffnet sich ein ein fenster und will bei mir einen dialer installlieren,dies wird jedoch von antivir unterbrochen.
hatte vorher mcafee drauf und er meldete das ich den trojaner VBS/Psyme drauf habe,sowie ExploitMht REDIR.GEN und Downloader-JW.

wollte jetzt das gleiche machen wie im 2ten poste beschrieben.
diese hijack-logfile,bekommt man die von einem programm angezeigt?

@ peacekeeper

Eröffne einen neuen Thread, sonst führt das unter Umständen zu Verwirrungen.
Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Hallo,

vielen Dank für die schnelle Hilfe...Problem ist anscheinend beseitigt.

Was kann man dagegen tun, sich solche Trojaner einzufangen ?

Verwende aktuell Spyware-Blaster, aber dieses scheint seine Funktion anscheinend nicht richtig auszuführen...

Siehe hier http://www.trojaner-board.de/showpos...28&postcount=2 . Formatieren musst du natürlich nicht, aber es ist ein Teil meines Sicherheitskonzepts.

Weiterführende Links:
http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/#SECTION000110000000000000000