Infiziert (Searchmiracle nervt) ???

Björn Karpenstein

Also erstmal Hallo!

Ich hatte vor 2 Tagen meinen Rechner neu aufgesetzt, ging mit SP1a ins Internet. Blöderweise hab ich hier nur ISDN - also hab ich mir von nem bekannten SP2 für XP ziehen lassen. Habe dann Office XP installiert. Heute kam von der XP-Firewall ne Meldung, das Spool32.exe ins Internet wollte. Ich hab im Eifer meines geschehens auf "nicht mehr blockieren" geklickt. Danach nahm ich eine "EliteBar" im InternetExplorer wahr. Wo kommt die her??? Habe BrowserplugIn von Drittanbietern unter Internetoptionen deaktiviert, weiss nicht ob das was bringt. Ich habe AdAware drüber laufen lassen und mir das Teil entfernen lassen. Jedesmal nachdem ich im Internet war, habe ich wieder 8 neue Objekte "Ebates Money Maker" auf dem Rechner.

Habe im root-Verzeichnis C:\ eine sidebDD.exe gefunden. Ich glaube ich hatte sie mal ausgeführt (wo kommt die denn nun wieder her???) und bekam die Meldung es wäre keine gültige Win32-Anwendung.

Der Internet-Explorer will jedesmal auf searchmiracle.com gehen, manchmal kommt auch eine Zeile:

res:shdoclc.dll/dnserror.htm

Ich habe in msconfig.exe gesehen, das 2x Spool32.exe und run.exe vorhanden ist. Habe sie rausgenommmen und die Prozesse gekillt, danach kommt es scheinbar nicht mehr.

Jetzt bekomme ich andauernd an unsinnigen Stellen die Meldung das irgendeine Seite die angezeigte Website schließen möchte, und ich soll es bestätigen.

Was soll das denn alles? Wie soll ich vorgehen? Ich kann nicht den ganzen Tag nach Viren und Spyware jagen.

Logfile of HijackThis v1.99.1
Scan saved at 17:34:51, on 09.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\qttasks.exe
C:\WINDOWS\realschd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\AVPersonal\INETUPD.EXE
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\DOKUME~1\BJRNKA~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [antiware] C:\windows\system32\eliteokb32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Nero] C:\WINDOWS\qttasks.exe /i
O4 - HKLM\..\Run: [TkBellExee] C:\WINDOWS\realschd.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Windows Services] Spool32.exe
O4 - HKLM\..\RunServices: [runs] run.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [runs] run.exe
O4 - HKCU\..\Run: [Windows Services] Spool32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9448592-33AA-4437-8A25-43B824B9713C}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


netstat -ab
lieferte folgendes:


Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status PID
TCP yeah-e4c8ghao5d:epmap yeah-e4c8ghao5d:0 ABH™REN 780
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ADVAPI32.dll
[svchost.exe]

TCP yeah-e4c8ghao5d:microsoft-ds yeah-e4c8ghao5d:0 ABH™REN 4
[System]

TCP yeah-e4c8ghao5d:29453 yeah-e4c8ghao5d:0 ABH™REN 1824
[Spool32.exe]

TCP yeah-e4c8ghao5d:1028 yeah-e4c8ghao5d:0 ABH™REN 1804
[alg.exe]

TCP yeah-e4c8ghao5d:netbios-ssn yeah-e4c8ghao5d:0 ABH™REN 816
-- unbekannte Komponente(n) --
[svchost.exe]

TCP yeah-e4c8ghao5d:1799 pD9FCB249.dip.t-dialin.net:microsoft-ds SYN_GESENDET 1840
[run.exe]

TCP yeah-e4c8ghao5d:1801 pD9FCD6D7.dip.t-dialin.net:microsoft-ds SYN_GESENDET 1840
[run.exe]

TCP yeah-e4c8ghao5d:1808 217.252.101.231:microsoft-ds SYN_GESENDET 1840
[run.exe]

TCP yeah-e4c8ghao5d:1809 pD9FC8665.dip.t-dialin.net:microsoft-ds SYN_GESENDET 1840
[run.exe]

TCP yeah-e4c8ghao5d:1810 pD9FC1941.dip0.t-ipconnect.de:microsoft-ds SYN_GESENDET 1840
[run.exe]

TCP yeah-e4c8ghao5d:1816 pD9FC60F8.dip0.t-ipconnect.de:microsoft-ds SYN_GESENDET 1824
[Spool32.exe]

TCP yeah-e4c8ghao5d:1817 217.252.228.121:microsoft-ds SYN_GESENDET 1824
[Spool32.exe]

TCP yeah-e4c8ghao5d:1818 pD9FC3457.dip.t-dialin.net:microsoft-ds SYN_GESENDET 1824
[Spool32.exe]

TCP yeah-e4c8ghao5d:1819 pD9FCA247.dip.t-dialin.net:microsoft-ds SYN_GESENDET 1824
[Spool32.exe]

TCP yeah-e4c8ghao5d:1820 pD9FC68D9.dip0.t-ipconnect.de:microsoft-ds SYN_GESENDET 1824
[Spool32.exe]

TCP yeah-e4c8ghao5d:1212 202.67-18-118.reverse.theplanet.com:9136 HERGESTELLT 1824
[Spool32.exe]
TCP yeah-e4c8ghao5d:1755 220.72.108.99:64444 HERGESTELLT 1840
[run.exe]

TCP yeah-e4c8ghao5d:2018 198.88.20.155:http SCHLIESSEN_WARTEN 1920
[realschd.exe]

TCP yeah-e4c8ghao5d:2951 216.115.87.51:http SCHLIESSEN_WARTEN 1884
[qttasks.exe]

UDP yeah-e4c8ghao5d:isakmp *:* 576
[lsass.exe]

UDP yeah-e4c8ghao5d:microsoft-ds *:* 4
[System]

UDP yeah-e4c8ghao5d:2141 *:* 864
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]

UDP yeah-e4c8ghao5d:2552 *:* 864
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]

UDP yeah-e4c8ghao5d:tftp *:* 1840
[run.exe]

UDP yeah-e4c8ghao5d:4500 *:* 576
[lsass.exe]

UDP yeah-e4c8ghao5d:1211 *:* 864
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]

UDP yeah-e4c8ghao5d:612 *:* 1824
[Spool32.exe]

UDP yeah-e4c8ghao5d:1900 *:* 920
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP yeah-e4c8ghao5d:1817 *:* 816
c:\windows\system32\WS2_32.dll
C:\WINDOWS\System32\SSDPAPI.dll
C:\WINDOWS\System32\upnp.dll
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\OLEAUT32.dll
C:\WINDOWS\system32\ole32.dll
[svchost.exe]

UDP yeah-e4c8ghao5d:1030 *:* 564
[services.exe]

UDP yeah-e4c8ghao5d:1029 *:* 724
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\WININET.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP yeah-e4c8ghao5d:1031 *:* 1384
[Explorer.EXE]

UDP yeah-e4c8ghao5d:ntp *:* 816
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]



und das ganze nochmal ohne Internetverbindung:
(netstat -ab)


Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status PID
TCP yeah-e4c8ghao5d:epmap 0.0.0.0:0 ABH™REN 780
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\svchost.exe
-- unbekannte Komponente(n) --
[svchost.exe]

TCP yeah-e4c8ghao5d:microsoft-ds 0.0.0.0:0 ABH™REN 4
[System]

TCP yeah-e4c8ghao5d:18350 0.0.0.0:0 ABH™REN 3696
[AVGUARD.EXE]

TCP yeah-e4c8ghao5d:2545 localhost:18350 HERGESTELLT 3772
[AVGNT.EXE]

TCP yeah-e4c8ghao5d:18350 localhost:2545 HERGESTELLT 3696
[AVGUARD.EXE]

UDP yeah-e4c8ghao5d:isakmp *:* 576
[lsass.exe]

UDP yeah-e4c8ghao5d:4500 *:* 576
[lsass.exe]

UDP yeah-e4c8ghao5d:2416 *:* 864
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]

UDP yeah-e4c8ghao5d:microsoft-ds *:* 4
[System]

UDP yeah-e4c8ghao5d:1044 *:* 864
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]

UDP yeah-e4c8ghao5d:1031 *:* 1288
[Explorer.EXE]

UDP yeah-e4c8ghao5d:1900 *:* 920
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP yeah-e4c8ghao5d:1029 *:* 732
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\WININET.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP yeah-e4c8ghao5d:ntp *:* 816
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP yeah-e4c8ghao5d:1030 *:* 564
[services.exe]