Tach zusammen,

ich benötige bitte dringend Hilfe, denn ich traue meinem Rechner gerade nicht mehr über den Weg und ich kenne mich mit Malware mal gerade überhaupt nicht aus!

XP Kiste mitSP1 - aber ansonsten brav alle Updates nach gezogen , Internet über DSL mit Firewall und aktivem Virenscanner (Norton)
Wenn ich in der Google Search eine Suchbegriff eingebe, kommt eine Seite, die zwar auf den ersten Blick aussieht wie Google, aber 61.131.54.618.cc/search.php?aid=.... usw iin der URL ist mit Sicherheit nicht google.

Escan im abgesicherten Modus hat was gebracht, habe ich sofort gelöscht (Systemwiederherstellung deaktiv), Pc normal gestartet und Hijack This ausgeführt.

Das Ist das Log:

Logfile of HijackThis v1.99.0
Scan saved at 18:38:13, on 14.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\bases\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104965912842
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/De...pi/activex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DB38F02-C24D-4EC2-ACA4-FD4498FB308A}: NameServer = 192.168.178.1,192.168.182.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DB38F02-C24D-4EC2-ACA4-FD4498FB308A}: NameServer = 192.168.178.1,192.168.182.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0DB38F02-C24D-4EC2-ACA4-FD4498FB308A}: NameServer = 192.168.178.1,192.168.182.1
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service - Unknown - C:\Program Files\Common Files\AVM\de_serv.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe



Ich kann nix finden. Irgendwelche Ideen, Anregungen?

TIA

Hobitt

Hallo,

XP mit SP1 usw. davon kann ja eigentlich kein Rede sein, da dein HJT Log-File was anderes aussagt. Du hast dein System vor kurzer Zeit erst neu aufgesetzt und wolltest das SP2 vielleicht installieren.

Zitat:

Escan im abgesicherten Modus hat was gebracht, habe ich sofort gelöscht

Das sagt mir natürlich nichts.
Was wurde von eScan gefunden und wie entfernt?

Hallo Cidre,

vielen Dank für die schnelle Reaktion.

Da ich blöderweise dachte, ich könnte mit Hilfe der vielen Postings zu dem Thema ansich die Geschichte selber bereinigen, habe ich mir gerade das was escan fand nicht notiert. Ich weiß - ziemlich blöde, aber naja, jeder gönnt sich ja mal einen Agenblick des Größenwahns...

Da sich die Files im Recycle Bin befanden, dachte ich, man kann durch einfaches leeren desselben, das Thema bereinigen.

Das mit dem neuen System ist korrekt, wobei ich weder Nerv noch Zeit habe, die Geschichte nochmal von vorn zu beginnen und das System nochmal hochzuziehen.

Daher erste Frage: soll ich escan nochmals im abgesicherten Modus laufen lassen?

Gruß

Hobitt

Wenn du eScan wie beschrieben in den Ordner C:\bases entpackt und upgedated hast, dann befindet sich dort auch noch eine mwav.log Datei ->
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Ansonsten solltest du nochmals im abgesicherten Modus mit aktualisierten eScan scannen und die Ergebnisse posten.

So - jetzt geht's weiter:

Habe sicherheitshalber nochmals einen sauberen Scan im abgesicherten Modus durchgeführt.

Fri Jan 14 20:02:15 2005 => ***** Scanning complete. *****

Fri Jan 14 20:02:15 2005 => Total Files Scanned: 24317
Fri Jan 14 20:02:15 2005 => Total Virus(es) Found: 0
Fri Jan 14 20:02:15 2005 => Total Disinfected Files: 0
Fri Jan 14 20:02:15 2005 => Total Files Renamed: 0
Fri Jan 14 20:02:15 2005 => Total Deleted Files: 0
Fri Jan 14 20:02:15 2005 => Total Errors: 4
Fri Jan 14 20:02:15 2005 => Time Elapsed: 00:38:56
Fri Jan 14 20:02:15 2005 => Virus Database Date: 2005/01/14
Fri Jan 14 20:02:15 2005 => Virus Database Count: 115534

Fri Jan 14 20:02:15 2005 => Scan Completed.

Fri Jan 14 20:27:29 2005 => Virus Database Date: 2005/01/14
Fri Jan 14 20:27:29 2005 => Virus Database Count: 115534


Fri Jan 14 19:23:47 2005 => ERROR!!! Invalid Entry System32\DRIVERS\NETFWDSL.SYS in SYSTEM\CurrentControlSet\Services\NETFWDSL...
Fri Jan 14 19:23:43 2005 => ERROR!!! Invalid Entry C:\Program Files\Common Files\AVM\de_serv.exe in SYSTEM\CurrentControlSet\Services\de_serv...

sind (neben pagefile.sys als Error - was sogar für mich logisch erscheint :=)) die einzigen Infos, die ich da raus ziehen kann. Der letzte Error ist was vom VS!

Und Nu?

Gruß

Hobitt - ziemlich ratlos

BTW:

c:\windows\systems32\drivers\etc\hosts ist auch sauber. Langsam verstehe ich die Welt nicht mehr!! Wie kann es zu einen Redirect kommen, wenn kein Mist mehr drauf ist. habe jetzt mit A-squared auch noch einen Scan gemacht - auch nix!


Hilfe !!!!!!!!!!!!

@Hobitt
unbedingt IE und system updaten
wechsle in den abgesicherten modus und fixe mit HJT
O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AVM FRITZ!web Routing Service - Unknown - C:\Program Files\Common Files\AVM\de_serv.exe (file missing)
lösche danach manuell
C:\WINDOWS\web\related.htm
C:\WINDOWS\System32\DSMANA~1.DLL
neu booten, neues HJT logfile hier posten
chaosman

Hallo Chaosman,

habe alles so gemacht und was soll ich sagen?

ES Funzt! Vielen Dank Euch beiden für die tolle Unterstützung. Ohne Euch und dieses Board hätte ich mir einen Wolf gesucht. Aber bevor der Jubel zu groß wird, das HJT-Log:

Logfile of HijackThis v1.99.0
Scan saved at 21:45:21, on 14.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\bases\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104965912842
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/De...pi/activex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DB38F02-C24D-4EC2-ACA4-FD4498FB308A}: NameServer = 192.168.178.1,192.168.182.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DB38F02-C24D-4EC2-ACA4-FD4498FB308A}: NameServer = 192.168.178.1,192.168.182.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0DB38F02-C24D-4EC2-ACA4-FD4498FB308A}: NameServer = 192.168.178.1,192.168.182.1
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

Das war es hoffentlich. Dass eigentliche Problem war die dsmanager.dll. Sofort nach dem Löschen, kam die Goggle-Seite mit den Ergebnissen zurück und nicht der Fake.

Was meint Ihr dazu???

Gruß

Hobitt

Glückwunsch und nun kommen wir zur Nachsorge.
In meiner Signatur findest du einen Link. Setze mindestens die Punkte 1,3,4,5,6 der Anleitung in die Tat um.
Beachte abschliessend "Für die Zukunft" und Punkt 11.