Erbitte Hilfe

Dieterwk

Hallo,
Ausgangslage:
Im IE hat sich der Trojaner mit About:Blank bemerkbar gemacht, der eine Search- Seite als URL hat, die nicht geändert werden kann.Wenn man eine URL aufruft bricht die nach einiger Zeit ab und die SearchURL ist da.Es erscheinen dann in unregelmäßigen Abständen ein Security iGuard Programm (Habe ich nicht installiert),dass auffordert eine URL aufzusuchen, des weiteren erscheinen unregelmäßig Fenster von einem Warning Blocker mit der URL http://s13.temp.cc mit der Bemerkung das ein Parasit (ist Trojaner gemeint davon gehe ich aus) vorliegt und man soll eine spyware zum killen aufrufen.
1.
Habe mit Antivir gescannt und es erscheint folgende Meldung [WARNUNG] Ist das Trojani-sche Pferd TR/StartPage.qr.DLL! C:\DOKUME~1\DIETER\LOKALE~1\TEMP\SE.DLL
Weiter wurde nichts gefunden
2.
Habe SpHjfix.exe in der V1.0.0.7 die Desinfektion gestartet.
Nach kurzer Zeit ganz oben im Fenster SP.html- Hijack Fixer nicht Infiziert
Danach habe ich den Neustart gemacht und dann mit CWS- Shredder V2.13
Button Fix gestartet dort zeigt er viele Dateien an wo als Resultat Not Present steht
Bei einer CWS. HiddenDLL steht als Resultat Removed
Am Ende des Logs steht:
Restoring IE pages 2 Restored
Restoring Hidden IE Options tabs Done
Restoring Hosts File Redirections None Infected
Danach Neustart gemacht und das Ergebnis war das gleiche wie vorher
3.
Da Schritt 2. kein Erfolg gebracht hat, habe ich HijackThis laufen lassen.

Logfile of HijackThis v1.99.1
Scan saved at 19:08:14, on 17.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\DitExp.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe
C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Dieter\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hi-jackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Dieter\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Dieter\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {0399A783-30F2-447B-83BE-37DA10A5B6C2} - C:\WINDOWS\system32\eocb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Datei-en\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Datei-en\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Dieter\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Datei-en\aolshare\AOLMIcon.exe
O4 - Startup: CAPIControl.lnk = ?
O4 - Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Sys-tems\Ulead Photo Express 4.0 SE\CalCheck.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O18 - Filter: text/html - {983313E1-B628-4E43-9861-B7761BE19B24} - C:\WINDOWS\system32\eocb.dll
O18 - Filter: text/plain - {983313E1-B628-4E43-9861-B7761BE19B24} - C:\WINDOWS\system32\eocb.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Dann den Button auswerten gedrückt und folgende Punkte gefunden:
Bitte noch mal nachschauen ob ich es auch richtig interpretiere.

R1- HKCU … erkennt böse C:\DOKUME~1\DIETER\LOKALE~1\TEMP\SE.DLL
R1- HKLM … erkennt böse C:\DOKUME~1\DIETER\LOKALE~1\TEMP\SE.DLL
O2- BHO…C:\Window\system32\eocb.dll wird die benötigt?
O4- HKLM.. erkennt die unter R1 genannte DLL als unbekannt
O4-HKLM.. erkennt das oben genannte Programm iGuard.exe als unbekannt, wurde von mir nicht installiert
O4-HKCU…..Aolmicon.exe weiß nicht ob es was mit AOL zu tun hat war dem
Rechner vorkonfiguriert
O4-startup CapiControl müsste sich um die CAPI SW der T-Eumex 520PC handeln
O4-Startup HomeNetControl müsste sich um die HomeNetControl SW der
T-Eumex 520PC handeln
O9…Medionshop ist bestimmt von der Vorinstallation da, würde ich fixen wollen?
O18 …eocb.dll siehe auch O2-BHO wird die benötigt?
O18… eocb.dll siehe auch O2-BHO wird die benötigt?
O23…C:\Programme\CA\SharedComponents\CA-LIC\....
weiß nicht ob es zur Vorinstallierten CA-VirenSW gehört
Warum am Ende keine aktive FW steht, kann ich nicht verstehen, da SP2 installiert wurde und im Button die FW als grünes Häckchen dargestellt wird.
Ich würde unter HijackThis.de die Häckchen fürs Fixen setzen und was mach ich dann???
Da ich nicht weiß wie man dann die bösen Einträge aus der Regrestry entfernen kann…
Wo muß die Datei dann eingespielt werden oder manuell geändert werden in der Regrestry ??
Wie komm ich da ran usw. Fragen über Fragen????
Es wäre schon wenn die zu machenden Schritte kurz aufgezeigt werden der Reihe nach, da ich kein Windowsspezi bin. Wollte keine Neuinstallation machen.
Würde mich sehr freuen, wenn mir jemand weiterhelfen könnte, denn wie es weiter geht da habe ich so recht nichts in Internet gefunden.
Vielen Dank im vor aus.