antivir meldet immer wieder den dropper dr/180solutions. auch das empfohlene ausschalten des windows-seitigen kopieren von konfigurationsdateien und virenscan im abgesicherten modus bringt nichts, er kommt immer wieder. im systemtray befindet sich jetzt ein nicht ausschaltbares icon mit namen 180search options von new.net. sieht jemand in diesem hijack this logfile, was ich fixen kann oder kennt diesen dropper sogar persönlich?

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D784B7D6BE0B3} - E:\Programme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD
90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-
90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:
\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.
2_06\bin\jusched.exe
O4 - HKLM\..\Run: [saap] e:\programme\gluz\saap.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [ydotot] C:\WINDOWS\ydotot.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /
background
O4 - Startup: OpenOffice.org 1.1.4.lnk = E:
\Programme\OpenOffice\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-
00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-
AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}
- C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-
BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class)
- http://support.euro.dell.com/global/...r/PROFILER.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) - http://messenger.msn.
com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) -
http://zone.msn.com/binFramework/v10...o.cab32846.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.
com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-
03274F5A9C49}: Domain = lan.fli4l
O17 - HKLM\System\CCS\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-
03274F5A9C49}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-
03274F5A9C49}: Domain = lan.fli4l
O17 - HKLM\System\CS1\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-
03274F5A9C49}: NameServer = 192.168.1.1

Ich danke im voraus für jegliche hilfe.

@ Deep

poste bitte ein komplettes Hijack This Logfile: http://www.trojaner-board.de/51130-a...ijackthis.html. Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch HijackThis.

also, hier noch das komplette logfile, hijack diesmal unter c:\hijackthis\ ausgeführt:

Logfile of HijackThis v1.98.2
Scan saved at 01:04:36, on 13.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Dell\AccessDirect\dadapp.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
E:\programme\gluz\saap.exe
E:\Programme\AntiVir\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
E:\Programme\OpenOffice\program\soffice.exe
E:\Programme\AntiVir\AVGUARD.EXE
E:\Programme\AntiVir\AVWUPSRV.EXE
E:\Programme\Azureus\Azureus.exe
C:\Programme\Java\j2re1.4.2_06\bin\javaw.exe
C:\Hijack This\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [saap] e:\programme\gluz\saap.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [ydotot] C:\WINDOWS\ydotot.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: OpenOffice.org 1.1.4.lnk = E:\Programme\OpenOffice\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/...r/PROFILER.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10...o.cab32846.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-03274F5A9C49}: Domain = lan.fli4l
O17 - HKLM\System\CCS\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-03274F5A9C49}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-03274F5A9C49}: Domain = lan.fli4l
O17 - HKLM\System\CS1\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-03274F5A9C49}: NameServer = 192.168.1.1

@ Deep

Du dürftest einige Malware auf dem System haben. Es ist daher besser, erst zu erfahren, was Du genau auf dem Rechner hast.

Erstelle dazu einen neuen Ordner "bases" auf der Festplatte C: (c:\bases). Lade den eScan runter und entpacke ihn in diesen neuen Ordner. Lies die Anleitung in diesem Link sehr genau. Update den eScan online und führe ihn offline im abgesicherten Modus aus. Der eScan dauert ca 1 Stunde und löscht keine Malware. Das wird manuell gemacht.

Teile uns das Ergebnis des eScan mit: öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****


Das Hijack This Logfile sollte in der Version: v1.99.0 erstellt werden.

Zitat:

File C:\Programme\QuickSearch\QuickSearchBar3_28.dll infected by "not-a-virus:AdWare.ToolBar.Quick.b" Virus. Action Taken: No Action Taken.

Thu Jan 13 22:49:50 2005 => File C:\WINDOWS\ydotot.exe infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\NDNuninstall5_64.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

File C:\Programme\QuickSearch\Uninstall_QuickSearchBar.exe infected by "not-a-virus:AdWare.ToolBar.Quick.b" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\NDNuninstall5_64.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

File E:\Programme\Gluz\saaphook.dll infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.

das sind die entries von eScan

Zitat:

Logfile of HijackThis v1.99.0
Scan saved at 00:50:33, on 14.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Dell\AccessDirect\dadapp.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
E:\programme\gluz\saap.exe
E:\Programme\AntiVir\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
E:\Programme\OpenOffice\program\soffice.exe
E:\Programme\AntiVir\AVGUARD.EXE
E:\Programme\AntiVir\AVWUPSRV.EXE
E:\Programme\Opera\opera.exe
C:\DOKUME~1\MICHEL~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [saap] e:\programme\gluz\saap.exe
O4 - HKLM\..\Run: [ydotot] C:\WINDOWS\ydotot.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: OpenOffice.org 1.1.4.lnk = E:\Programme\OpenOffice\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/...r/PROFILER.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10...o.cab32846.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-03274F5A9C49}: Domain = lan.fli4l
O17 - HKLM\System\CCS\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-03274F5A9C49}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-03274F5A9C49}: Domain = lan.fli4l
O17 - HKLM\System\CS1\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-03274F5A9C49}: NameServer = 192.168.1.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - E:\Programme\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - E:\Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: PsShutdown - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE

... und hier noch das neue hijack this log

@ Deep

downloade LSP-Fix. Es kann sein, dass Du Probleme bekommst, ins Netz zu kommen: die Internetverbindung trennen und LSP-Fix ausführen. Den Rechner neu booten.

Lade das Clear Prog runter, mach ein Häkchen' bei "Clear all" und klicke auf "Clear".

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

diese Malware-Einträge bitte von Hand löschen:

2.) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, Datei markieren/kopieren, in die Windows Suche übertragen -> löschen:

C:\WINDOWS\ydotot.exe
C:\Programme\QuickSearch\Uninstall_QuickSearchBar. exe
E:\programme\gluz\saap.exe

3.) --> Cidre und Chaosman zum löschen von DLL's zitiert:
"[i]entweder probierst du dies http://www.windows-tweaks.info/html/dllsuchexp.html oder du machst es so: Lade Dir Winfile.exe (einen älteren NT-Dateimanager) herunter und starte ihn. Navigiere im rechten Fenster zu der betreffenden dll, markiere sie und wähle im Menue Security die Option Permissions. Ändere im unteren Auswahlfenster die Zugriffsart auf Vollzugriff. Bestätige mit [OK]. Dann wähle im selben Menue die Option Owner und klicke auf [Besitz übernehmen]. Bestätige mit OK. Jetzt die Datei umbenennen in z.B. Malware.txt und die Nachfragen jeweils mit [OK] bzw. [Ja] bestätigen. Anschließend sollten die Dateien sich löschen lassen:

C:\Programme\QuickSearch\QuickSearchBar3_28.dll
E:\Programme\Gluz\saaphook.dll

4.) --> mit LSP-Fix einlesen und einfach von links nach recht schieben:

C:\WINDOWS\NDNuninstall5_64.exe

Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren. Neu booten.

------------

überprüfe mit dem online-scan von Kaspersky:

C:\WINDOWS\System32\PSSDNSVC.EXE

teile uns das Ergebnis der Überprüfung mit.

erst mal danke für deine kompetente hilfe, shadow. noch ein, zwei fragen zum vorgehen:

- LSP ausführen und ClearProg kommen also noch bevor ich einige dateien von hand lösche?

- meinst du mit

Zitat:

diese Malware-Einträge bitte von Hand löschen

diese hier?

Zitat:

C:\WINDOWS\ydotot.exe
C:\Programme\QuickSearch\Uninstall_QuickSearchBar. exe
E:\programme\gluz\saap.exe