Hi,
ich bin neu hier und sitze seit ein paar Tagen dran für einen Bekannten einen Laptop von Viren und anderen Schädlingen zu befreien.
Bin auch schon ganz gut vorangekommen. Allerdings bekomme ich bei HijackThis immer diese Meldung "O15 - Trusted Zone: *.finefind.nettraffic2cash.biz" und selbst wenn ich auf "fix checked" klicke bekomme ich das nicht weg. Ich habe die Vermutung, dass dadurch mir auch der Zugriff auf die Seiteneinstellung bei den Internet Optionen verwehrt bleibt.
Hat jemand eine Idee, wie ich das Ding wegbekomme.
Danke schonmal.
cu
Karlja



Logfile of HijackThis v1.99.1
Scan saved at 10:50:31, on 26.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe
C:\Programme\T-Online\T-Online Internationaler Zugang\downloader\ipccheck.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\Programme\T-Online\T-Online Internationaler Zugang\iPassConnectEngine.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\eScan\eScanWin.exe
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\eScan\mwavscan.com
C:\PROGRA~1\eScan\kavss.exe
C:\Dokumente und Einstellungen\.....\Desktop\sec\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe"
O4 - HKLM\..\Run: [iPCCheck] "C:\Programme\T-Online\T-Online Internationaler Zugang\downloader\ipccheck.exe" /startup
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [ESCANIPC] C:\PROGRA~1\eScan\ESCANIPC.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: T-Online Internationaler Zugang.lnk = C:\Programme\T-Online\T-Online Internationaler Zugang\International.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.finefind.nettraffic2cash.biz
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: eScan-Installer-Service - Unknown owner - C:\PROGRA~1\eScan\TRAYISER.EXE
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Hallo,

den 015-Eintrag solltest Du so los werden -> http://www.trojaner-board.de/showpos...6&postcount=31

Wenn ich das Log richtig deute, hast Du 3 Virenscanner (Symantec, Kaspersky, eScan) aktiv. Du solltest Dich für einen entscheiden.

Ich war mir dessen schon bewusst, dass der Eintrag da nicht stehen sollte. Hat mit dem Tip auch wunderbar geklappt. Allerdings befürchte ich, dass da immer noch etwas nicht passt.
Ich habe mal einen Screenshot von der Sache in den Anhang geladen, kann mir jemand sagen, was ich machen muss, damit ich wieder auf die "Sites"-Einstellung zugreifen kann. Bei meinem Rechner ist das nämlich möglich... leider, wie auf dem Screen zu sehen, auf dem anderen Rechner aber nicht.

Die ganzen Virenscanner habe ich auch nur zum Spass drauf... lol... nein, quatsch beiseite. Ich hab die jetzt nur zum Scannen drauf gehabt. Irgendwie haben die alle unterschiedliche Files und Viren gefunden. Die kommen jetzt auch wieder runter. Die blockieren das System ja nur unnötig.

Hier ist außerdem nochmal der neue HijackThis log.
Vielen Dank schon mal für die schnelle und kompetente Hilfe.
cu
Karlja


Logfile of HijackThis v1.99.1
Scan saved at 16:43:09, on 26.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe
C:\Programme\T-Online\T-Online Internationaler Zugang\downloader\ipccheck.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\T-Online\T-Online Internationaler Zugang\International.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\Programme\T-Online\T-Online Internationaler Zugang\iPassConnectEngine.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SymSetup\{C6F5B6CF-609C-428E-876F-CA83176C021B}.exe
C:\WINDOWS\System32\MsiExec.exe
C:\Dokumente und Einstellungen\...\Desktop\sec\HijackThis.exe
C:\WINDOWS\System32\MsiExec.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe"
O4 - HKLM\..\Run: [iPCCheck] "C:\Programme\T-Online\T-Online Internationaler Zugang\downloader\ipccheck.exe" /startup
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [ESCANIPC] C:\PROGRA~1\eScan\ESCANIPC.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: T-Online Internationaler Zugang.lnk = C:\Programme\T-Online\T-Online Internationaler Zugang\International.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: eScan-Installer-Service - Unknown owner - C:\PROGRA~1\eScan\TRAYISER.EXE
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

@karlja
bitte nur machen wenn du dich wirklich mit PC's auskennst, vorher registry sichern

Vertrauenswürdigen sites umstellen Zitat Bubi
Stichwort: Tür und Tor öffnen!

Ein Trojaner hat bei mir das IE-Default-Setting für http-Adressen von Zone 3 (Internet) auf Zone 2 (Vertrauenswürdige Sites) umgestellt. Damit waren alle http-Adressen zu "vertrauenswürdigen Bedingungen" auf meinem PC eingeladen, zu tun und lassen, was sie wollen..... (Status-Anzeige unten rechts: "Vertrauenwürdige Sites")

In die Zonen werden dann auch alle "angriffslustigen" Sites eingetragen...
Insbesondere auch diejenigen, die diese Manipulation verursacht haben!!
(Logisch)

Ich habe dieses Setting jetzt mit Regedit.exe wieder zurückgestellt auf den Wert 3 (also Zone 2 zurück auf Wert 3) und alle Sites aus den Zonen gelöscht, die dort nichts zu suchen haben und siehe da: alles wieder OK!

Der Pfad in Regedit.exe ist:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Zones

Mehr Info dazu gibt`s hier:
http://www.jsiinc.com/SUBO/tip7100/rh7159.htm (englisch) und hier:
http://support.microsoft.com/kb/182569/DE/

(Nur für Regedit.exe-Erfahrene Anwender!!!)


chaosman

Danke nochmal für die schnelle Hilfe.
Das zuletzt von mir beschriebene Probleme hat sich nach der Installation von SP 2 und anderen "sicherheits" Updates von Microsoft erledigt. Der Pc läuft nunmehr ohne erkennbare Einschränkung. Keins der von mir eingesetzten Virenprogramme zeigt das vorhanden sein von Viren und sonstigem Ungeziefer an. Ich würde das schonmal als sehr positiv einschätzen. Werde also morgen den Pc guten Gewissens wieder dem Bekannten zurückgeben.

@chaosman:
Ich würd mich schon als recht fortgeschrittenen Anwender bezeichnen und habe auch mit der Regestry keine Probleme. Allerdings muss man ja nicht auch noch im Gebiet der Viren, Trojaner, und... bewandert sein. Jeder legt irgendwo seine Schwerpunkte und ich denke das solche Probleme sich auch durch gegenseitiges Ergänzen gut lösen lassen. (bin ja nur Schüler der als Hobby ein wenig mit dem Pc zu tun hat)
Die Zonen ließen sich ohne Probleme verstellen, allerdings machten mir die "Trusted Zone - Sites" Einstellungen Probleme, da ich sie nicht anklicken konnte... siehe Bild im Anhang weiter unten. - Aber das hat sich ja nun zum Glück auch gelöst.