Hallo! Jetzt hat's auch mich erwischt. Hab bereits Adware SE Personal installiert und es wurde viel erkannt und entfernt. Nur das Surfen mit dem Internet Explorer, was das ursprüngliche Problem war, klappt immer noch nicht. Zwar freunde ich mich immer mehr mit dem Firefox an, aber ich will jetzt das Problem lösen. Häng nun seit ca. zwei Tagen daran. Vielleicht habt ihr eine Idee .. Hier mein Logfile:


--------------------------------------------------------
Logfile of HijackThis v1.99.0
Scan saved at 13:30:12, on 06.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\ati2evxx.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zapro.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Winamp\winampa.exe
C:\WINNT\system32\CTFMON32.EXE
C:\WINNT\system32\CSRSSU.EXE
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\WINNT\system32\taskmgr.exe
C:\WINNT\explorer.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SEDP Class - {3BA765C2-08DB-4fe2-9279-311CA10D582A} - C:\WINNT\sehlp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\winnt\downloaded program files\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar2.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zapro.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [Babylon Translator] c:\programme\babylon\Babylon.exe
O4 - HKCU\..\Run: [CTFMON32] C:\WINNT\system32\CTFMON32.EXE
O4 - HKCU\..\Run: [CSRSSU] C:\WINNT\system32\CSRSSU.EXE
O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
O9 - Extra button: concept/design's onlineTV - {047C1412-707B-4233-8C7D-1E3DC486D9A2} - C:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/bi.../GoogleNav.cab
O23 - Service: Ati HotKey Poller - Unknown - C:\WINNT\System32\ati2evxx.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

--------------------------------------------------------

Hallo,

überprüfe zunächst diese folgenden Dateien bei http://virusscan.jotti.org/de und poste das Ergebnis:
C:\WINNT\system32\CTFMON32.EXE
C:\WINNT\system32\CSRSSU.EXE

Beende aber beide Prozesse im TaskManager bevor du sie überprüfst.

Hallo Cidre, danke für die schnelle Antwort. Diese Onlineprüfung ist ja genial. Habe die zwei Files checken lassen und das Ergebnis kopiere ich mal hier rein. Tatsächlich gibt es bei den zwei wohl Probleme ... ... Reicht eine Löschung der zwei Dateien aus?

--------------------------

File: CSRSSU.EXE
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

AntiVir
No viruses found (0.22 seconds taken)
Avast
No viruses found (1.51 seconds taken)
AVG Antivirus
No viruses found (0.79 seconds taken)
BitDefender
No viruses found (0.37 seconds taken)
ClamAV
No viruses found (1.35 seconds taken)
Dr.Web
No viruses found (1.78 seconds taken)
F-Prot Antivirus
No viruses found (0.10 seconds taken)
Fortinet
No viruses found (0.51 seconds taken)
Kaspersky Anti-Virus
Trojan.Win32.StartPage.up (0.66 seconds taken)
mks_vir
No viruses found (0.32 seconds taken)
NOD32
Win32/TrojanDropper.Small.NBC (0.39 seconds taken)
Norman Virus Control
No viruses found (1.10 seconds taken)

--------------------------

File: CTFMON32.EXE
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

AntiVir
No viruses found (0.22 seconds taken)
Avast
No viruses found (1.51 seconds taken)
AVG Antivirus
No viruses found (0.80 seconds taken)
BitDefender
No viruses found (0.37 seconds taken)
ClamAV
No viruses found (0.45 seconds taken)
Dr.Web
No viruses found (0.56 seconds taken)
F-Prot Antivirus
No viruses found (0.10 seconds taken)
Fortinet
No viruses found (0.51 seconds taken)
Kaspersky Anti-Virus
Trojan.Win32.StartPage.up (0.66 seconds taken)
mks_vir
No viruses found (0.31 seconds taken)
NOD32
Win32/TrojanDropper.Small.NBC (0.39 seconds taken)
Norman Virus Control
No viruses found (1.09 seconds taken)

--------------------------

und noch mehr:

------------------------
File: SHLPUI.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

AntiVir
No viruses found (0.21 seconds taken)
Avast
No viruses found (1.51 seconds taken)
AVG Antivirus
No viruses found (0.83 seconds taken)
BitDefender
BehavesLike:Trojan.StartPage (probable variant) (0.37 seconds taken)
ClamAV
No viruses found (0.43 seconds taken)
Dr.Web
No viruses found (0.55 seconds taken)
F-Prot Antivirus
No viruses found (0.07 seconds taken)
Fortinet
No viruses found (0.51 seconds taken)
Kaspersky Anti-Virus
Trojan.Win32.StartPage.ig (0.63 seconds taken)
mks_vir
No viruses found (0.21 seconds taken)
NOD32
Win32/StartPage.NCP (0.40 seconds taken)
Norman Virus Control
Sandbox: W32/Malware; [ General information ]

* Display message box (Uninstaller) : SE Helper Library has been uninstalled!.
* File length: 3072 bytes.

[ Changes to registry ]
* Creates key "HKLM\Software\Microsoft\Internet Explorer\Main\SEHLPstp".
* Modifies value "Start Page"="about:blank" in key "HKLM\Software\Microsoft\Internet Explorer\Main".
* Sets value "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" in key "HKLM\Software\Microsoft\Internet Explorer\Main".
* Sets value "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" in key "HKLM\Software\Microsoft\Internet Explorer\Main".
* Sets value "Search Bar"="" in key "HKLM\Software\Microsoft\Internet Explorer\Main".
* Sets value "SearchURL"="" in key "HKLM\Software\Microsoft\Internet Explorer\Main".
* Sets value "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" in key "HKCU\Software\Microsoft\Internet Explorer\Main".
* Sets value "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" in key "HKCU\Software\Microsoft\Internet Explorer\Main".
* Sets value "Search Bar"="" in key "HKCU\Software\Microsoft\Internet Explorer\Main".
* Sets value "SearchURL"="" in key "HKCU\Software\Microsoft\Internet Explorer\Main".
* Creates value "CTFMON32"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "CSRSSU"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".

[ Process/window information ]
* Will automatically restart after boot (I'll be back...). (0.46 seconds taken)

-----------------------------------

File: sehlp.dll
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

AntiVir
No viruses found (0.21 seconds taken)
Avast
No viruses found (1.51 seconds taken)
AVG Antivirus
No viruses found (0.80 seconds taken)
BitDefender
No viruses found (0.38 seconds taken)
ClamAV
No viruses found (0.45 seconds taken)
Dr.Web
Trojan.StartPage.304 (0.55 seconds taken)
F-Prot Antivirus
No viruses found (0.07 seconds taken)
Fortinet
No viruses found (0.51 seconds taken)
Kaspersky Anti-Virus
Trojan.Win32.StartPage.up (0.63 seconds taken)
mks_vir
No viruses found (0.25 seconds taken)
NOD32
Win32/StartPage.NCP (0.39 seconds taken)
Norman Virus Control
No viruses found (0.15 seconds taken)

--------------------------------------

Wechsle in den abgesicherten Modus http://www.trojaner-board.de/63335-w...s-starten.html und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 127.0.0.1
O2 - BHO: SEDP Class - {3BA765C2-08DB-4fe2-9279-311CA10D582A} - C:\WINNT\sehlp.dll
O4 - HKCU\..\Run: [CTFMON32] C:\WINNT\system32\CTFMON32.EXE
O4 - HKCU\..\Run: [CSRSSU] C:\WINNT\system32\CSRSSU.EXE

Lösche diese Dateien:
C:\WINNT\system32\CTFMON32.EXE
C:\WINNT\system32\CSRSSU.EXE
C:\WINNT\sehlp.dll

- neue Startseite vergeben
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HijackThis posten

Zur Sicherheit kannst du auch eScan AntiVirus im abgesicherten Modus wie beschrieben anwenden und die Malware dann manuell löschen.