Hallo Leute,
habe es schon vorgestern gepostet, leider ohne Antwort, deshalb nochmal in diesem Bereich, da ich wirklich eure Hilfe brauche.
Ich habe seit vorgestern echt ein Problem. Eigentlich dachte ich, mein PC wäre recht sicher (auch wenn ich IE nutze, weil nur da alle Typo3-Funktionen zur Verfügung stehen), aber jetzt habe ich mir zum ersten Mal was eingefangen, was auch gleich richtig nervt. Mit Ad-Aware, Spybot und HijackThis kann man zwar das Problem lokalisieren, aber nicht wirklich beseitigen. Ich hoffe nicht, dass mir so eine Prozedur, wie in den anderen Threads bevorsteht, aber hier mal mein HijackThis.log:

Logfile of HijackThis v1.98.2
Scan saved at 22:40:20, on 28.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Atguard\iamserv.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
D:\Network Associates\VirusScan\Mcshield.exe
D:\Network Associates\VirusScan\VsTskMgr.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
C:\PROGRA~1\Atguard\iamapp.exe
C:\WINNT\System32\rmctrl.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
D:\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\WinTV\Ir.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Tools\HijackThis.exe

O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\System32\rmctrl.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ShStatEXE] "D:\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O15 - Trusted Zone: *.Radio@ne
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/d...n/GoogleNav.cab

Bin über jegliche Hilfe echt dankbar.

Balko

Hi, balko,
bitte im abgesicherten Modus folgendes mit HJT fixen:
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

Ist das Absicht: O15 - Trusted Zone: *.Radio@ne wenn nicht, dann auch fixen.
Anschließend neues Logfile reinposten.

Mich würde noch interessieren, was spybot und Co. so lakalisiert haben.

hallo cacatoa,
danke für deine schnelle hilfe. hatte vorher schonmal im abgesicherten modus versucht mit hjt zu fixen, war aber hinterher im normalmodus wieder da.
jetzt scheint es geklappt zu haben (habe auch O15 gefixt).
Spybot findet noch DSO Exploit (obwohl ich den im abgesicherten Modus gefixt hatte), scheint sich nicht dauerhaft entfernen zu lassen, weil er nach jedem Scan wieder da ist.

Hier der HJT.log:
Logfile of HijackThis v1.98.2
Scan saved at 19:58:50, on 30.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Atguard\iamserv.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
D:\Network Associates\VirusScan\Mcshield.exe
D:\Network Associates\VirusScan\VsTskMgr.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
C:\PROGRA~1\Atguard\iamapp.exe
C:\WINNT\System32\rmctrl.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
D:\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\WinTV\Ir.exe
D:\Tools\HijackThis.exe

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\System32\rmctrl.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ShStatEXE] "D:\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/de.../GoogleNav.cab


Noch eine Frage: Wie ist dieses Zeug auf meinen PC gelangt bzw. noch wichtiger - wie kann ich das in Zukunft verhindern?

MfG,
Balko

Hallo, Balko,
den IE kannst du updaten, gibt ein neues.
DSO-Exploit ist Standard-Fehlermeldung bei Spybot; soll mit der nächsten Version behoben sein. Ist also ohne Funktion, kannst löschen oder auch nicht, kommt wieder.
Dein Log ist schön sauber. Wenn Du die folgenden nicht brauchst/kennst, kannst du sie auch noch fixen:
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsimilar.html.

Eigentlich sollten Deine Probs jetzt weg sein, oder?
cacatoa

@ balko:
hab´ Deine letzte Frage eben erst gesehen.
Hier findest du die Antwort.

coooool, dann war's ja doch nicht so kompliziert :-)

sollte ich mir noch irgendwas an software installieren (außer IE-update)?

vielen dank nochmal