Ein erstes Hallo erstmal,

bin fest der Überzeugung, dass ich mir irgendwas "Böses" im Netz eingefangen habe, Rechner läuft superlangsam und hängt sich oft auf. Habe zwar schon einige Cleaner u.ä.(Spysweeper,CWShredder,Ad-Aware etc.) laufen lassen, auch einiges gefunden und entfernt, nur taucht alles immer wieder auf.
Auch die Suche nach einer Lösung im Netz oder das Studium anderer Beiträge im Forum hat nüscht gebracht.

Wäre euch echt verbunden, wenn ihr mal einen Blick darauf werfen könntet:

Logfile of HijackThis v1.99.1
Scan saved at 23:05:11, on 17.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\rpcss_pl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Dave\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchpage.biz/bar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchpage.biz/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchpage.biz/searchassistant.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://mysearchpage.biz/customizesearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = C:\WINDOWS\_sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_hp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_hp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0E234239-88FF-11D2-8446-D7234234421F} - C:\WINDOWS\System32\msasmsn7.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted IP range: 209.8.20.130
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - http://69.50.166.213/users/john/web/winxp/
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: RPC+ Service Provider (RPCSS+) - Unknown owner - C:\WINDOWS\System32\rpcss_pl.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Ach so, HijackThis im abgesicherten Modus durchgeführt und benutze Firefox. Falls noch Infos gebraucht werden...einfach fragen.

MfG und Danke schonmal aus dem Ruhrpott

Hallo Atreyu,

besser wäre ein Logfile im normalen Modus.
Hol das bitte nach und
führe bitte dies mal aus:
1. Downloade Dir escan und befolge diese Anleitung (Scan im abgesicherten Modus dauert etwa eine Stunde),
2. starte nach dem Scan wieder in den normalen Modus,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.


dartus

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 23:05:11, on 17.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Bei solch einem ungepatcheten System wirst du immer wieder Gefahr laufen dir Schädlinge auf deinen Rechner zu holen.
Aber warten wir erstmal auf den Escan bevor wir auf das näher eingehen.

So, danke schonmal für die schnelle hilfe. Hier das Ergebnis von eScan und die kopierten infizierten Dateien:

Fri Mar 18 11:47:31 2005 => File C:\WINDOWS\system32\kbdbezv.dll infected by "Backdoor.Win32.Afcore.bv" Virus. Action Taken: No Action Taken.
Fri Mar 18 11:47:37 2005 => File C:\WINDOWS\System32\msasmsn7.dll infected by "Trojan.Win32.WebSearch.f" Virus. Action Taken: No Action Taken.
Fri Mar 18 11:48:00 2005 => File C:\WINDOWS\NDNuninstall4_85.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Fri Mar 18 11:48:00 2005 => File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Fri Mar 18 11:48:11 2005 => File C:\WINDOWS\System32\ALG32.EXE infected by "Trojan-Dropper.Win32.Agent.ge" Virus. Action Taken: No Action Taken.
Fri Mar 18 11:48:21 2005 => File C:\WINDOWS\System32\checking.exe infected by "Trojan.Win32.StartPage.pm" Virus. Action Taken: No Action Taken.
Fri Mar 18 11:48:22 2005 => File C:\WINDOWS\System32\cleaner.exe infected by "Trojan-Downloader.Win32.Zlob.f" Virus. Action Taken: No Action Taken.
Fri Mar 18 11:48:26 2005 => File C:\WINDOWS\System32\cpfb.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken.
Fri Mar 18 11:48:46 2005 => File C:\WINDOWS\System32\f98er24s8u.dll infected by "Trojan-Clicker.Win32.Agent.au" Virus. Action Taken: No Action Taken.
Fri Mar 18 11:48:48 2005 => File C:\WINDOWS\System32\fufu.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.
Fri Mar 18 11:48:57 2005 => File C:\WINDOWS\System32\intlmain.dll infected by "Trojan.Win32.StartPage.iv" Virus. Action Taken: No Action Taken.
Fri Mar 18 11:49:02 2005 => File C:\WINDOWS\System32\kbdbezv.dll infected by "Backdoor.Win32.Afcore.bv" Virus. Action Taken: No Action Taken.
Fri Mar 18 11:49:05 2005 => File C:\WINDOWS\System32\kdeh.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken.
Fri Mar 18 11:49:31 2005 => File C:\WINDOWS\System32\msxxabt4.dll infected by "Trojan.Win32.StartPage.vy" Virus. Action Taken: No Action Taken.
Fri Mar 18 11:49:41 2005 => File C:\WINDOWS\System32\perfcl.exe infected by "Trojan-Downloader.Win32.Small.ri" Virus. Action Taken: No Action Taken.
Fri Mar 18 11:50:01 2005 => File C:\WINDOWS\System32\SPOOLSVU.EXE infected by "Trojan-Dropper.Win32.Agent.ge" Virus. Action Taken: No Action Taken.
Fri Mar 18 11:50:14 2005 => File C:\WINDOWS\System32\uyweaex.exe infected by "Trojan-Downloader.Win32.Agent.jc" Virus. Action Taken: No Action Taken.
Fri Mar 18 11:50:17 2005 => File C:\WINDOWS\System32\wauctlxp4.exe infected by "Trojan-Dropper.Win32.Mudrop.n" Virus. Action Taken: No Action Taken.
Fri Mar 18 11:50:23 2005 => File C:\WINDOWS\System32\wnim.dll infected by "Trojan-Downloader.Win32.Agent.iu" Virus. Action Taken: No Action Taken.
Fri Mar 18 11:50:25 2005 => File C:\WINDOWS\System32\wuactl2.exe infected by "Trojan-Clicker.Win32.Agent.cg" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\Dave\LOKALE~1\Temp\ICD5.tmp\MediaTicketsInstaller.ocx infected by "not-a-virus:AdWare.MediaTickets.f" Virus. Action Taken: No Action Taken.
Fri Mar 18 11:54:15 2005 => File C:\Dokumente und Einstellungen\Dave\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-144c78f3-37133265.zip infected by "Trojan.Java.ClassLoader.ab" Virus. Action Taken: No Action Taken.
Fri Mar 18 11:58:07 2005 => File C:\Dokumente und Einstellungen\Dave\Desktop\hijackthis.zip infected by "Trojan.Win32.WebSearch.f" Virus. Action Taken: No Action Taken.
Fri Mar 18 12:01:25 2005 => File C:\Dokumente und Einstellungen\Dave\Lokale Einstellungen\Temp\ICD5.tmp\MediaTicketsInstaller.ocx infected by "not-a-virus:AdWare.MediaTickets.f" Virus. Action Taken: No Action Taken.
Fri Mar 18 12:01:41 2005 => File C:\Dokumente und Einstellungen\Dave\Lokale Einstellungen\Temp\sp.html infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.
Fri Mar 18 12:07:18 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Fri Mar 18 12:14:25 2005 => C:\RECYCLER\NPROTECT\00000330. possibly infected and removed by background antivirus package!
Fri Mar 18 12:14:25 2005 => File C:\RECYCLER\NPROTECT\00000330. infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
Fri Mar 18 12:14:25 2005 => File C:\RECYCLER\NPROTECT\00006015.INT infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
Fri Mar 18 12:27:55 2005 => File C:\WINDOWS\iTopRebates\WebRebates_Auto.exe infected by "not-a-virus:AdWare.WebRebates.g" Virus. Action Taken: No Action Taken.
Fri Mar 18 12:28:04 2005 => File C:\WINDOWS\NDNuninstall4_85.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Fri Mar 18 12:28:04 2005 => File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Fri Mar 18 12:29:24 2005 => File C:\WINDOWS\system\IEService.exe infected by "not-a-virus:AdWare.FastFind.b" Virus. Action Taken: No Action Taken.
Fri Mar 18 12:29:28 2005 => File C:\WINDOWS\system32\ALG32.EXE infected by "Trojan-Dropper.Win32.Agent.ge" Virus. Action Taken: No Action Taken.
Fri Mar 18 12:29:42 2005 => File C:\WINDOWS\system32\checking.exe infected by "Trojan.Win32.StartPage.pm" Virus. Action Taken: No Action Taken.
Fri Mar 18 12:29:43 2005 => File C:\WINDOWS\system32\cleaner.exe infected by "Trojan-Downloader.Win32.Zlob.f" Virus. Action Taken: No Action Taken.
Fri Mar 18 12:29:55 2005 => File C:\WINDOWS\system32\cpfb.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken.
Fri Mar 18 12:33:00 2005 => File C:\WINDOWS\system32\f98er24s8u.dll infected by "Trojan-Clicker.Win32.Agent.au" Virus. Action Taken: No Action Taken.
Fri Mar 18 12:33:02 2005 => File C:\WINDOWS\system32\fufu.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.
Fri Mar 18 12:33:12 2005 => File C:\WINDOWS\system32\intlmain.dll infected by "Trojan.Win32.StartPage.iv" Virus. Action Taken: No Action Taken.
Fri Mar 18 12:33:17 2005 => File C:\WINDOWS\system32\kbdbezv.dll infected by "Backdoor.Win32.Afcore.bv" Virus. Action Taken: No Action Taken.
Fri Mar 18 12:33:20 2005 => File C:\WINDOWS\system32\kdeh.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken.
Fri Mar 18 12:33:53 2005 => File C:\WINDOWS\system32\msxxabt4.dll infected by "Trojan.Win32.StartPage.vy" Virus. Action Taken: No Action Taken.
Fri Mar 18 12:34:12 2005 => File C:\WINDOWS\system32\perfcl.exe infected by "Trojan-Downloader.Win32.Small.ri" Virus. Action Taken: No Action Taken.
Fri Mar 18 12:34:50 2005 => File C:\WINDOWS\system32\SPOOLSVU.EXE infected by "Trojan-Dropper.Win32.Agent.ge" Virus. Action Taken: No Action Taken.
Fri Mar 18 12:35:04 2005 => File C:\WINDOWS\system32\uyweaex.exe infected by "Trojan-Downloader.Win32.Agent.jc" Virus. Action Taken: No Action Taken.
Fri Mar 18 12:35:07 2005 => File C:\WINDOWS\system32\wauctlxp4.exe infected by "Trojan-Dropper.Win32.Mudrop.n" Virus. Action Taken: No Action Taken.
Fri Mar 18 12:35:25 2005 => File C:\WINDOWS\system32\wnim.dll infected by "Trojan-Downloader.Win32.Agent.iu" Virus. Action Taken: No Action Taken.
Fri Mar 18 12:35:27 2005 => File C:\WINDOWS\system32\wuactl2.exe infected by "Trojan-Clicker.Win32.Agent.cg" Virus. Action Taken: No Action Taken.
Fri Mar 18 12:35:47 2005 => File C:\WINDOWS\Temp\se.dll infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: No Action Taken.


Fri Mar 18 12:35:59 2005 => ***** Scanning complete. *****

Fri Mar 18 12:35:59 2005 => Total Files Scanned: 39461
Fri Mar 18 12:35:59 2005 => Total Virus(es) Found: 53
Fri Mar 18 12:35:59 2005 => Total Disinfected Files: 0
Fri Mar 18 12:35:59 2005 => Total Files Renamed: 0
Fri Mar 18 12:35:59 2005 => Total Deleted Files: 0
Fri Mar 18 12:35:59 2005 => Total Errors: 90
Fri Mar 18 12:35:59 2005 => Time Elapsed: 00:48:46
Fri Mar 18 12:35:59 2005 => Virus Database Date: 2005/03/17
Fri Mar 18 12:35:59 2005 => Virus Database Count: 122324


Und hier nochmal HijackThis im normalen Modus:

Logfile of HijackThis v1.99.1
Scan saved at 13:01:11, on 18.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\rpcss_pl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Dokumente und Einstellungen\Dave\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchpage.biz/bar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchpage.biz/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchpage.biz/searchassistant.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://mysearchpage.biz/customizesearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = C:\WINDOWS\_sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_hp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_hp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {0E234239-88FF-11D2-8446-D7234234421F} - C:\WINDOWS\System32\msasmsn7.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted IP range: 209.8.20.130
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: RPC+ Service Provider (RPCSS+) - Unknown owner - C:\WINDOWS\System32\rpcss_pl.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Was nun? Sytemwiederherstellung deaktivieren und erstmal die infizierten Dateien löschen?
Schon mal im Vorfeld: Mit der Registry kenn ich mich wirklich nur spärlich aus,aber man lernt ja dazu und ServicePack1+2 war bereits installiert, funzte nix mehr, also wieder runter.

Afcore is a backdoor Trojan program that appears as a Windows application file (.dll file) with a size of about 110KB. The Trojan has numerous functions that give 'evildoers' almost full control of victim computers

Einzig richtige Konsequenz:
http://www.trojaner-info.de/report_i...nleitung.shtml

Natürlich inkl. SP2 oder allen Sicherheitspatches, die dieses enthält! Wenn dann irgendwas nicht "funzt", dann liegt das i.d.R. nicht an SP2, sondern an veralteten Programm- oder BIOS-Versionen.

Gruß
Yopie