Hallo,

seit einiger Zeit habe ich mit google ein Problem:

Wenn ich einen Begriff eingebe und nur deutsche Seiten (auch voreingestellt) suche, zeigt google mir für ca. 1 Sekunde die Suchergebnisse an und springt dann um auf andere Suchergebnisse.
An oberster Stelle stehen immer links die "starware search" oder ähnlich heißen und in englischer Sprache verfasst sind.
Das ist zwar nicht so tragisch aber lästig.

Ist das irgendein virus?

Grüße und Dank im Voraus

hi lad dir mal dies spybot und adaware runter updaten alle beide und scannen lassen

Vorbeugung

@salinger
post doch mal ein HijackThis logfile
download
anleitung
chaosman

Hallo und danke für die schnelle Antwort!

Nachfolgend das HiJack-posting:

Logfile of HijackThis v1.99.0
Scan saved at 12:40:27, on 19.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Browser mouse\1.3\mouse32a.exe
C:\WINDOWS\Dit.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\PROGRA~1\SCREEN~1\SIMPLESCREENSHOT.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsmart.tv/search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://66.250.57.28/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
O2 - BHO: (no name) - {28643A2E-F7CF-E9A3-6411-569499C009A3} - C:\WINDOWS\System32\uttiwxql.dll
O2 - BHO: (no name) - {41F017E7-BE6B-7193-BCCD-0B86B170EB24} - C:\WINDOWS\system32\twnmvnmy.dll
O2 - BHO: (no name) - {B5A55E4F-58EB-93EB-56DD-D0801D2DC66D} - C:\WINDOWS\System32\qrzbrsqi.dll
O2 - BHO: (no name) - {F673A46D-559F-29B7-9CCF-1CAFBFBD46CB} - C:\WINDOWS\system32\zbjjptbt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\conflict.1\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [FLMBROWSERMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SimpleScreenshot] C:\PROGRA~1\SCREEN~1\SIMPLESCREENSHOT.EXE
O4 - HKLM\..\Run: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe
O4 - HKCU\..\Run: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe
O4 - Global Startup: Denk dran!.lnk = C:\Programme\DATA BECKER\Denk dran!\BdR.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~4\Office\1031\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: BuyTimer - {835410A6-A385-4783-B4CB-8CDAA37DE769} - C:\Programme\OxBuy\BuyTimer\IE.dll
O9 - Extra 'Tools' menuitem: OxBuy BuyTimer - {835410A6-A385-4783-B4CB-8CDAA37DE769} - C:\Programme\OxBuy\BuyTimer\IE.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: OxBuy Homepage - {FFBC8261-F6B9-4CFB-9324-A334A1852576} - C:\Programme\OxBuy\BuyTimer\IE.dll
O9 - Extra 'Tools' menuitem: OxBuy Homepage - {FFBC8261-F6B9-4CFB-9324-A334A1852576} - C:\Programme\OxBuy\BuyTimer\IE.dll
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU)
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {38135E75-34A9-49EC-B83D-9F9A31877CA0} (DLITools.Uploader) - http://it3.xpresslab.de/DLIUploaderV2.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099503269328
O16 - DPF: {898FBC6E-E394-4D8C-A8A1-441F40110022} (pixelnet_de_bilduebertragung) - http://www.pixelnet.de/upload/pixeln...bertragung.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{015B719C-3679-4566-84FF-6CB6D5C42F46}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{015B719C-3679-4566-84FF-6CB6D5C42F46}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD File System Service - Unknown - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sony SPTI Service - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe

@salinger
lade dir escan download
anleitung
führe es genauso durch wie verlangt wird, scan dauert 1 stunde
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

chaosman

Hi,

habe mit escan 4.7.5 im abgesicherten modus 44 Viren und 88 Total errors gehabt- scan hat über 3 Stunden gedauert.
Der Backdoor.Win32.Rbot.gen war am häufigsten und ich konnte ich nicht alle Treffer listen, weil die Zeichenanzahl dann überschritten wurde:

C:\WINDOWS\system32\TFTP4068 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\TFTP612 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\uttiwxql.dll infected by "Trojan.Win32.Golid.e" Virus. Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Moritz\Eigene Dateien\PerfectNavUninstall.exe infected by "Sun Dec 19 14:01:25 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sun Dec 19 14:01:25 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\A0092989.EXE.VIR
Sun Dec 19 14:01:25 2004 => File C:\Programme\AVPersonal\INFECTED\A0092989.EXE.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sun Dec 19 14:01:25 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\A0093118.EXE.VIR
Sun Dec 19 14:01:26 2004 => File C:\Programme\AVPersonal\INFECTED\A0093118.EXE.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sun Dec 19 14:01:26 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\A0093120.EXE.VIR
Sun Dec 19 14:01:26 2004 => File C:\Programme\AVPersonal\INFECTED\A0093120.EXE.VIR infected by "Backdoor.Win32.Rbot.gen"
TrojanDownloader.Win32.Keenval.e" Virus. Action Taken: No Action Taken.
Sun Dec 19 14:01:29 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\AGXXIBBB.EXE.VIR
Sun Dec 19 14:01:29 2004 => File C:\Programme\AVPersonal\INFECTED\AGXXIBBB.EXE.VIR infected by "TrojanProxy.Win32.Agent.ac" Virus. Action Taken: No Action Taken.

Sun Dec 19 14:01:29 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\CUPOUE.DLL.VIR
Sun Dec 19 14:01:29 2004 => File C:\Programme\AVPersonal\INFECTED\CUPOUE.DLL.VIR infected by "TrojanDownloader.Win32.Agent.bd" Virus. Action Taken: No Action Taken.

Sun Dec 19 14:01:29 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\EXPLORER32.EXE.VIR
Sun Dec 19 14:01:29 2004 => File C:\Programme\AVPersonal\INFECTED\EXPLORER32.EXE.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sun Dec 19 14:01:29 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\MSINFO.EXE.001
Sun Dec 19 14:01:29 2004 => File C:\Programme\AVPersonal\INFECTED\MSINFO.EXE.001 infected by "TrojanDownloader.Win32.WinShow.am" Virus. Action Taken: No Action Taken.

Sun Dec 19 14:01:29 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\MSINFO.EXE.VIR
Sun Dec 19 14:01:29 2004 => File C:\Programme\AVPersonal\INFECTED\MSINFO.EXE.VIR infected by "TrojanDownloader.Win32.WinShow.am" Virus. Action Taken: No Action Taken.

Sun Dec 19 14:01:32 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\TFTP504.VIR
Sun Dec 19 14:01:32 2004 => File C:\Programme\AVPersonal\INFECTED\TFTP504.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sun Dec 19 14:01:32 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\VERIFIERBUG[1].CLASS.VIR
Sun Dec 19 14:01:33 2004 => File C:\Programme\AVPersonal\INFECTED\VERIFIERBUG[1].CLASS.VIR infected by "Exploit.Java.Bytverify" Virus. Action Taken: No Action Taken.

Sun Dec 19 14:01:33 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\WEB.EXE.001
Sun Dec 19 14:01:33 2004 => File C:\Programme\AVPersonal\INFECTED\WEB.EXE.001 tagged as not-a-virus:PornWare.Dialer.RelaxDial. No Action Taken.

Sun Dec 19 14:01:33 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\WEB.EXE.VIR
Sun Dec 19 14:01:33 2004 => File C:\Programme\AVPersonal\INFECTED\WEB.EXE.VIR tagged as not-a-virus:PornWare.Dialer.RelaxDial. No Action Taken.

Sun Dec 19 14:01:33 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\WINOLE.EXE.VIR
Sun Dec 19 14:01:33 2004 => File C:\Programme\AVPersonal\INFECTED\WINOLE.EXE.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sun Dec 19 14:01:33 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\winole.VIR
Sun Dec 19 14:01:33 2004 => File C:\Programme\AVPersonal\INFECTED\winole.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sun Dec 19 14:01:33 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\winole.VIR00
Sun Dec 19 14:01:33 2004 => File C:\Programme\AVPersonal\INFECTED\winole.VIR00 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sun Dec 19 14:01:33 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\winole.VIR01
Sun Dec 19 14:01:33 2004 => File C:\Programme\AVPersonal\INFECTED\winole.VIR01 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sun Dec 19 14:01:33 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\winole.VIR02
Sun Dec 19 14:01:33 2004 => File C:\Programme\AVPersonal\INFECTED\winole.VIR02 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP367\A0093119.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP372\A0109942.exe infected by "Trojan-Proxy.Win32.Agent.l" Virus. Action Taken: No Action Taken.
Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP372\A0113023.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP398\A0120303.exe infected by "Trojan.Win32.Dialer.cr" Virus. Action Taken: No Action Taken.
Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP398\A0120303.exe infected by "Trojan.Win32.Dialer.cr" Virus. Action Taken: No Action Taken.
Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP414\A0122818.dll infected by "Trojan.Win32.Navid.c" Virus. Action Taken: No Action Taken.
Sun Dec 19 16:21:37 2004 => File C:\WINDOWS\Dialer\sdialer.exe infected by "Trojan.Win32.Dialer.cr" Virus. Action Taken: No Action Taken.

Grüße und Dank

Salinger

Hallo salinger,

leider können wir Dir nicht wirklich helfen. Dein System ist verseucht und obendrein in fremder Hand. Was Du zu diesem Wurm wissen musst, kannst Du hier nachlesen: Sophos Viren-Enzyklopädie, Backdoor.Win32.Rbot.gen-> "Erläuterung" beachten. Wir können Dir nur einen Rat geben, für Deine eigene Sicherheit und die der anderen Netzteilnehmer: formatiere Deinen Rechner anhand der oft hier im Forum gegebenen Tipps von Lutz zur Datensicherung, Cidre's Rat und MountainKing: Sicherheit gross geschrieben.

SD

Hi,

schön' Schiet!

Gibt's wirklich keinen anderen Weg?

Wenn nein, muss ich wohl formatieren usw. Das dauert immer sehr lange und momentan hab ich wenig Zeit dafür.
Deshalb bitte noch eine letzte Auskunft:
Was heißt und bedeutet in "fremder Hand"?
Was kann mir alles passieren?
Sind meine Passwörter für Online-banking, ebay usw. jetzt schon anderen bekannt?
Müsste ich also mein System möglichst heute schon erneuern oder kann ich noch ein paar Wochen warten, denn bis auf das Google-Problem läuft alles stabil.

Grüße und vielen Dank für die kompetente und schnelle Hilfe!!!

salinger

Also das selbe Problem mit Starware hatte ich auch das es sich nach ca 1 Sekunde vor Google Ergebnisse geschoben hat...

Jetzt hab ich Starware endlich runter vom PC!

Ich habe Ad-Aware, Spyware Doctor und Spyware Search and Destroy einfach mal laufen lassen und meinen Rechner wieder frei von Starware..
Hat zwar etwas gedauert bis die Programme durchliefen aber zum Glück hat es geklappt..

Die Programme gibt es Hier zum download...

Sorry für den Link auf mein eigenes Forum, soll keine Werbung sein, aber ich wollte nicht jedes Programm einzeln als Link setzen..

Ich hoffe bei den Betroffenen klappt es so gut wie bei mir...


Aber mich würde noch interessieren wie sich Starware( ) so einfach installieren konnte... Ich meine die feine Art ist das doch nicht oder?