Hallo,

ich habe ein kleines Problem mit meinem IE (Version 6, SP2). Nachdem ich einen Trojaner auf dem PC hatte und es (erfolgreich?) entfernte (Keine Einträge mehr im Hijackthis), habe nun weiterhin das o.G. Problem mit meinem Browser. AntiVir zeigt keine Viren und Spybot keine wichtige Einträge an.

hir der Log von Hijackthis
Logfile of HijackThis v1.99.0
Scan saved at 2:05:26 p.m., on 31/12/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\DOKUME~1\BLACKP~1\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis199.zip\HijackThis.exe
C:\DOKUME~1\BLACKP~1\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.yahoo.de/
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [Samsung LBP SM] "C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TerraTec Scheduler] "C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Bin mit meinem Latinum am Ende :-( und hoffe in diesem Forum Hilfe für meinem Problem zu finden :-)

Gruß

P.D. Entschuldigung wg. Posten eines HijackThis Log's in diesem Board :-(

Hallo,

fixe diese Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)

Wenn die O15 wiederkehren sollten, dann führe dies aus: http://www.trojaner-board.de/showpos...6&postcount=31

btw:
Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Sicherheitszone Arbeitsplatz:
http://www.pcwelt.de/know-how/tipps_...rowser/104851/
http://www.shamrock.de/wintips.htm

Hi Cidre,

habe alles gemacht und hier ist das Ergebniss, wobei Eintrag 1 und 3 die Gleichen sind... Außerdem probierte ich es nochmals mit AntiVir und Spybot und sie meldeten weiterhin nichts... Vielen Dank im Voraus für Deine Mühe :-)

1) Fri Dec 31 15:25:46 2004 => File C:\DOKUME~1\BLACKP~1\LOKALE~1\Temp\7.tmp infected by "Trojan-Downloader.Win32.Small.aef" Virus. Action Taken: No Action Taken.
2) Fri Dec 31 15:41:08 2004 => File C:\WINDOWS\Downloaded Program Files\lsp_.dll infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken.
3) Fri Dec 31 15:58:58 2004 => File C:\Dokumente und Einstellungen\Blackpanter\Lokale Einstellungen\Temp\7.tmp infected by "Trojan-Downloader.Win32.Small.aef" Virus. Action Taken: No Action Taken.
4) Fri Dec 31 15:23:47 2004 => File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Hallo Thomasmann,

postest Du diese Zeilen bitte auch:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:

Leere die Ordner:

File C:\DOKUME~1\BLACKP~1\LOKALE~1\Temp
File C:\Dokumente und Einstellungen\Blackpanter\Lokale Einstellungen\Temp

Du kannst Dir dazu auch das ClearProg runterladen.

Zu Punkt 2):

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> lsp_.dll eingeben -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren.

Zu Punkt 4):

das erledigt sich mit dem Reboot.

SD

Hallo Allerseits,

habe alles gemacht und 7.tmp könnte gelöscht werden, bei lsp_.dll habe ich leider kein Glück gehabt, war nämlich trotz Häkchen nicht aufzufinden :-(
...Browser behält Problem bei. Außerdem habe ich Folgende Einträge in der Systemkonfiguration gefunden: AdmilliServ, 7 und Bundle. Die AdmilliServ und Bundle.exe Dateien hatte ich nach besten Wissen und Gewissen gelöscht gehabt, so dass ich einfach den Häkchen entfernte bei diesen Einträgen.
Bei Software habe ich weiterhin 3 Einträgen gefunden die sich nicht entfernen lassen: Home Search Assistent, Search Extender und Shopping Wizard. Vielleicht könnt Ihr mit den Informationen mehr als ich anfangen...

Fri Dec 31 16:29:47 2004 => ***** Scanning complete. *****

Fri Dec 31 16:29:47 2004 => Total Files Scanned: 91314
Fri Dec 31 16:29:47 2004 => Total Virus(es) Found: 5
Fri Dec 31 16:29:47 2004 => Total Disinfected Files: 0
Fri Dec 31 16:29:47 2004 => Total Files Renamed: 0
Fri Dec 31 16:29:47 2004 => Total Deleted Files: 0
Fri Dec 31 16:29:47 2004 => Total Errors: 116
Fri Dec 31 16:29:47 2004 => Time Elapsed: 01:06:31
Fri Dec 31 16:29:47 2004 => Virus Database Date: 2004/12/31
Fri Dec 31 16:29:47 2004 => Virus Database Count: 114341

Gruß

P.D. die 5 Viruses sind in Wirklichkeit nur 3, denn 2 der Einträge doppelt vorhanden waren. Habe alle Ordner in der 2 Partitionen vom Program scannen lassen.

Zitat:

Bei Software habe ich weiterhin 3 Einträgen gefunden die sich nicht entfernen lassen: Home Search Assistent, Search Extender und Shopping Wizard.

http://www.trojaner-board.de/showpos...3&postcount=11

Zitat:

bei lsp_.dll habe ich leider kein Glück gehabt

http://www.trendmicro.com/vinfo/viru...ADW_SAHAGENT.B

Hallo Allerseits,

habe alles brav gemacht und jetzt zeigt mir eScan nur noch den _MSRSTRT.EXE Eintrag, doch die Datei ist von 27.10.2004 und somit älter als mein aktuelles Problem, welches am 27.12.2004 anfing. Registry habe ich gesäubert und unter Software sind die hartnäckige Einträge nicht mehr zu finden, aber das Problem, dass wenn ich im Internet surfe immer in der "Arbeitsplatz" Zone anstatt der Internet Zone bin, ist nicht verschwunden... Ideen?...

Gruß

P.D. Bevor ich es vergesse, ein frohes neues wünsche ich Euch allen und vielen Dank für die gebotenen Hilfeleistungen :-)
P.D.D. Mir ist eingefallen, vielleicht wurde von dem Schädling ein Registry eintrag verändert, so dass sich mein IE jetzt so seltsam benimmt?