Hallo zusammen,

ich bin zur Zeit im Ausland tätig und die wenige Zeit zuhause muss ich doch tatsächlich damit verbringen, zu versuchen einen Hijacker von meinem System zu eliminieren. ÄRGERLICH!!!
Wie gesagt, ich versuche! ... komme aber nicht wirklich klar und habe in meinem Explorer (egal ob IE oder Firefox) ständig die <lb3.netster/..> Startseite. Mit ad-aware, AntivirXP, Spybot und CWshredder (in den aktuellsten Versionen) kam ich nicht weiter! Heute habe ich escan 5.1.4 im abgesicherten Modi drüber lauen lassen und das hat mir "180solution/Spyware" und "VX2/Spyware" angezeigt.

Hier mein Hijack-Logfile:


Logfile of HijackThis v1.98.2
Scan saved at 16:11:02, on 28.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Download\HijackThis19802.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy2.unmik.net:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html

Das Blöde an der Sache ist natürlich auch, dass ich von der besagten Startseite nicht wegkomme, also online nur über einen Zweitrechner verfüge. Mit dem verseuchten Laptop kann ich machen was ich will, jeder Link bringt mich auf die lb3.netster Seite.


Bin Euch für Hilfe ewig dankbar!

Gruss Jörg

Also deine Logfile sieht sauber aus

Aber du besitzt eine alte HijackThis Version

Bitte lade dir hier die neuste runter

Erstelle erneut einen Log mit der aktuellen Verson von Hijackthis.

Direktdownload

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Ok, hier die aktuelle Version:

Logfile of HijackThis v1.99.1
Scan saved at 16:57:16, on 28.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
c:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Joerg\LOKALE~1\Temp\Rar$EX00.219\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy2.unmik.net:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Und bitte noch die Logdatei von Escan.
Habs dir oben beschrieben, wie du sie findest

Log schaut sauber aus, aber
1.) Java ist veraltet
2.) R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy2.unmik.net:80 kenne ich nicht.
3.) Leere mal alle Temp Dateien (System-Temp, TIFs des IE Cache von Firefox z.B. mit www.clearprog.de)
4.) eScan Infos posten
5.) evtl mal den Inhalt der Hosts-Datei posten:
Win-Taste + R -> "notepad c:\windows\system32\drivers\etc\hosts" (ohne "")-> Enter-> Inhalt ins Forum kopieren

Ist heute nicht mein Tag! Gerade eben ist mein Internetverbindungsrechner, mein alter zuverlässiger Athlon 500, mit einem Bluescreen "hardware-malfunction" abgestürzt! Ich habe ihn aber wieder zum Laufen gebracht. Die eScan Ergebnisse deshalb etwas verspätet:


Mon Mar 28 15:07:42 2005 => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken.

Mon Mar 28 15:07:42 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Mar 28 15:07:42 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken.

Mon Mar 28 15:07:42 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken.

Könnt ihr damit was anfangen?

Hosts Inhalt, wie unten beschrieben:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

Poste bitte folgendes aus der mwav.log (steht ganz am Ende):

Zitat:

Total Number of Files Scanned:
Total Number of Virus(es) Found:
Total Number of Disinfected Files:
Total Number of Files Renamed:
Total Number of Deleted Files:
Total Number of Errors:
Time Elapsed:

Zitat:

Könnt ihr damit was anfangen?

Naja...

Zitat:

Mon Mar 28 15:07:42 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken.

Warum eScan das "anmeckert" weiß ich nicht -> http://castlecops.com/clsid-686.html

Zitat:

30d02401-6a81-11d0-8274-00c04fd5ae38

Das solltest du löschen können (vorher sichern!)
Win-Taste + R -> regedit-> Enter
-> HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{30D02401-6A81-11D0-8274-00C04FD5AE38}
sicher bin ich mir aber auch da nicht.
EDIT: sollte auch gutartig sein: http://msdn.microsoft.com/workshop/b...browserbar.asp

Hosts-Datei schaut gut aus.

Haui45:

Mon Mar 28 15:56:24 2005 => Total Objects Scanned: 2391
Mon Mar 28 15:56:24 2005 => Total Virus(es) Found: 2
Mon Mar 28 15:56:24 2005 => Total Disinfected Files: 0
Mon Mar 28 15:56:24 2005 => Total Files Renamed: 0
Mon Mar 28 15:56:24 2005 => Total Deleted Objects: 0
Mon Mar 28 15:56:24 2005 => Total Errors: 0
Mon Mar 28 15:56:24 2005 => Time Elapsed: 00:02:11
Mon Mar 28 16:09:29 2005 => Virus Database Date: 2005/03/28
Mon Mar 28 16:09:29 2005 => Virus Database Count: 123725

Wenn ich meine XP CD da hätte würde ich das Ding plattmachen. Nervig, nervig! Aber die CD liegt etwa 2000 Km entfernt von hier!

Zitat:

Total Files Scanned: 2391

Gut, dass ich gefragt habe
Du hast eScan falsch ausgeführt. => Scanne dein System erneut mit eScan und halte dich diesmal bitte genau an die Anleitung ("all local drives" muss aktiviert sein)

So, jetzt sieht das mit dem eScan doch etwas anders aus. Sorry. Wie rücke ich dem(n) Problem(en) jetzt zu Leibe?




Mon Mar 28 15:07:42 2005 => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken.
Mon Mar 28 15:07:42 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Mar 28 15:07:42 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken.
Mon Mar 28 15:07:42 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Mar 28 18:23:59 2005 => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken.
Mon Mar 28 18:23:59 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Mar 28 18:23:59 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken.
Mon Mar 28 18:23:59 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Mar 28 18:48:01 2005 => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken.
Mon Mar 28 18:48:01 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Mar 28 18:48:01 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken.
Mon Mar 28 18:48:01 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Mar 28 19:21:05 2005 => File C:\Dokumente und Einstellungen\Joerg\Eigene Dateien\UNMIK\hijackthis.log infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Mon Mar 28 19:35:27 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\A0005825.DLL.VIR
Mon Mar 28 19:35:27 2005 => File C:\Programme\AVPersonal\INFECTED\A0005825.DLL.VIR tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken.

Mon Mar 28 19:35:27 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\A0005826.EXE.VIR
Mon Mar 28 19:35:27 2005 => File C:\Programme\AVPersonal\INFECTED\A0005826.EXE.VIR tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken.

Mon Mar 28 19:35:27 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\LSAEXT.DLL.VIR
Mon Mar 28 19:35:28 2005 => File C:\Programme\AVPersonal\INFECTED\LSAEXT.DLL.VIR tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken.

Mon Mar 28 19:35:28 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\PWSERVICE.EXE.VIR
Mon Mar 28 19:35:28 2005 => File C:\Programme\AVPersonal\INFECTED\PWSERVICE.EXE.VIR tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken.

Mon Mar 28 19:35:28 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\UNAFS.EXE.VIR
Mon Mar 28 19:35:28 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\UNIQUE.EXE.VIR
Mon Mar 28 19:35:28 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\UNSHADOW.EXE.VIR

Mon Mar 28 20:05:13 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP39\A0006087.exe infected by "HackTool.Win32.John" Virus. Action Taken: No Action Taken.

Mon Mar 28 19:35:27 2005 => File C:\Programme\AVPersonal\INFECTED\A0005825.DLL.VIR tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken.

Mon Mar 28 19:35:27 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\A0005826.EXE.VIR
Mon Mar 28 19:35:27 2005 => File C:\Programme\AVPersonal\INFECTED\A0005826.EXE.VIR tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken.

Mon Mar 28 19:35:27 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\LSAEXT.DLL.VIR
Mon Mar 28 19:35:28 2005 => File C:\Programme\AVPersonal\INFECTED\LSAEXT.DLL.VIR tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken.

Mon Mar 28 19:35:28 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\PWSERVICE.EXE.VIR
Mon Mar 28 19:35:28 2005 => File C:\Programme\AVPersonal\INFECTED\PWSERVICE.EXE.VIR tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken.

Mon Mar 28 19:59:11 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP25\A0004186.exe tagged as not-a-virus:RiskWare.PSWTool.Lopht.205b. No Action Taken.

Mon Mar 28 20:05:12 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP39\A0006085.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Mon Mar 28 20:05:13 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP39\A0006089.exe tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken.


Mon Mar 28 20:07:29 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP41\A0006401.exe tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken.


Mon Mar 28 20:38:08 2005 => Total Objects Scanned: 47778
Mon Mar 28 20:38:08 2005 => Total Virus(es) Found: 13
Mon Mar 28 20:38:08 2005 => Total Disinfected Files: 0
Mon Mar 28 20:38:08 2005 => Total Files Renamed: 0
Mon Mar 28 20:38:08 2005 => Total Deleted Objects: 0
Mon Mar 28 20:38:08 2005 => Total Errors: 8
Mon Mar 28 20:38:08 2005 => Time Elapsed: 01:55:08
Mon Mar 28 20:38:08 2005 => Virus Database Date: 2005/03/28
Mon Mar 28 20:38:08 2005 => Virus Database Count: 123725

Mon Mar 28 20:38:08 2005 => Scan Completed.

Würde mich auch interessieren meine Schwester hat genau
die gleiche auf ihrem PC...

@DONE

Ich weiss leider auch nicht mehr weiter. Beim "richtigen" umfassenden Scan mit eScan wurde auch der Eintrag "HackTool.Win32.John" Virus gefunden. Wie dem auch sei, ich komme da nicht weiter. Ständig die Startseite lb3/netster.., andere Zugriffe sind nicht mehr möglich.
Ich weiss nicht genau, werde aber mal versuchen mit einer Start-CD den Systemstart von XP zu umgehen und dann mit den versch. Virenescannern versuchen, was zu erreichen. Wenn das micht klappt ---> Plattmachen. Ist für mich aber, da ich wieder ins Ausland muss, die umständlichste Art.

Frage: Macht es Sinn die HJT Log von DONE hier zu posten um evtl. mit meiner zu vergleichen?
Ich bin mir letztlich immer noch nicht im klaren, welche(r) Virus/en hier sein Unwesen treibt.