Hallo, wenn ich IE 6 öffne und dann auf irgendeine Seite wechsle, dann öffnen sich immer zwei Pop Ups (immer die selben). Nun habe ich schon probiert HiJack This auswerten zu lassen, hat aber nichts gefährliches gezeigt (angeblich), dann habe ich weiters AdAware, Spybot S&D, CW Shredder, a² und Norton checken lassen, doch die finden auch nichts. Spybot findet zwar vier Einträge, aber wenn ich diese lösche sind sie beim nächsten Scan wieder da. Aber angeblich sind auch diese DSO Exploit Einträge ungefährlich. Nun wollte ich fragen was ich noch tun könnte.
Danke, Reini

Hallo,

Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Poste ebenso ein HJT Log-File.

Hallo also das ist das HJT Logfile:
Logfile of HijackThis v1.99.0 (BETA)
Scan saved at 17:09:35, on 07.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Alcatel\Dragdiag.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Norton AntiVirus\OPScan.exe
C:\antiadware\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100803354434
O17 - HKLM\System\CCS\Services\Tcpip\..\{69BF17BA-A599-4226-8015-49722BBF5FB2}: NameServer = 128.130.2.3 128.130.3.131
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: IMAPI CD-Burning COM Service - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: PCTEL Speaker Phone - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Und das das escan logfile:

Tue Dec 07 18:19:03 2004 => File C:\WINDOWS\system32\Explorer.exe infected by "Trojan-Downloader.Win32.Agent.ez" Virus. Action Taken: No Action Taken.

Tue Dec 07 18:20:36 2004 => File C:\WINDOWS\System32\explorer.exe infected by "Trojan-Downloader.Win32.Agent.ez" Virus. Action Taken: No Action Taken.

Tue Dec 07 18:22:42 2004 => File C:\WINDOWS\System32\vbsys2.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.

Tue Dec 07 18:25:19 2004 => File C:\DOKUME~1\Reini\LOKALE~1\TEMPOR~1\Content.IE5\0TYFCDYN\e9xr2[1].chm infected by "TrojanDownloader.Win32.Small.xk" Virus. Action Taken: No Action Taken.

Tue Dec 07 18:27:30 2004 => File C:\DOKUME~1\Reini\LOKALE~1\TEMPOR~1\Content.IE5\4P2RGPUV\webdlg32[1].cab infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken.

Tue Dec 07 18:29:14 2004 => File C:\DOKUME~1\Reini\LOKALE~1\TEMPOR~1\Content.IE5\A1GVCN89\ied_s7_32[1].cab infected by "Trojan-Downloader.Win32.Mediket.f" Virus. Action Taken: No Action Taken.

Tue Dec 07 18:30:02 2004 => File C:\DOKUME~1\Reini\LOKALE~1\TEMPOR~1\Content.IE5\GPANS9EB\austria[1].exe infected by "TrojanClicker.Win32.Adpower.l" Virus. Action Taken: No Action Taken.

Tue Dec 07 18:30:35 2004 => File C:\DOKUME~1\Reini\LOKALE~1\TEMPOR~1\Content.IE5\GPANS9EB\prompt[2].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.

Tue Dec 07 18:30:49 2004 => File C:\DOKUME~1\Reini\LOKALE~1\TEMPOR~1\Content.IE5\GPANS9EB\webdlg32[1].cab infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken.

Tue Dec 07 18:35:42 2004 => File C:\DOKUME~1\Reini\LOKALE~1\TEMPOR~1\Content.IE5\OHU34XMV\prompt[2].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.

Tue Dec 07 18:37:15 2004 => File C:\DOKUME~1\Reini\LOKALE~1\TEMPOR~1\Content.IE5\S1QZ4DEN\bridge-c5[1].cab infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.

Tue Dec 07 18:38:07 2004 => File C:\DOKUME~1\Reini\LOKALE~1\TEMPOR~1\Content.IE5\S1QZ4DEN\prompt[2].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.

Tue Dec 07 18:38:57 2004 => File C:\DOKUME~1\Reini\LOKALE~1\TEMPOR~1\Content.IE5\SL4V4BOV\bridge-c11[1].cab infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.

Tue Dec 07 18:38:59 2004 => File C:\DOKUME~1\Reini\LOKALE~1\TEMPOR~1\Content.IE5\SL4V4BOV\CAEBKHGT.htm infected by "TrojanDownloader.Java.FlingStone" Virus. Action Taken: No Action Taken.

Tue Dec 07 18:39:15 2004 => File C:\DOKUME~1\Reini\LOKALE~1\TEMPOR~1\Content.IE5\SL4V4BOV\ied_s7_7[1].cab infected by "Trojan-Downloader.Win32.Mediket.f" Virus. Action Taken: No Action Taken.

Tue Dec 07 18:39:32 2004 => File C:\DOKUME~1\Reini\LOKALE~1\TEMPOR~1\Content.IE5\SL4V4BOV\tbd_web[1].htm infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken.

Tue Dec 07 18:40:07 2004 => File C:\DOKUME~1\Reini\LOKALE~1\TEMPOR~1\Content.IE5\TW4BDLKD\bridge-c11[1].cab infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.

Tue Dec 07 18:40:07 2004 => File C:\DOKUME~1\Reini\LOKALE~1\TEMPOR~1\Content.IE5\TW4BDLKD\bridge-c2[1].cab infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.

Tue Dec 07 18:41:44 2004 => File C:\DOKUME~1\Reini\LOKALE~1\TEMPOR~1\Content.IE5\YJG7APGR\webdlg32[1].chm infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken.

Tue Dec 07 18:41:45 2004 => File C:\DOKUME~1\Reini\LOKALE~1\TEMPOR~1\Content.IE5\YJG7APGR\x14[1].chm infected by "TrojanDownloader.Win32.Small.yw" Virus. Action Taken: No Action Taken.

DANKESCHÖN!!!

@ Reili

die aufgeführten Malware-Einträge bitte von Hand löschen:

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren.

Lade (falls nötig) das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

Dein Logfile ist noch nicht in Ordnung - erstelle es bitte nochmal, wenn Du die Malware gelöscht hast.

SD