Hallo!

Bin Computer - Anfängerin und habe mich im Forum umgeschaut, um mir
Rat zu holen. Leider verstehe die meisten Bezeichnungen und Beschreibungen
nicht. Vermutlich hat mein PC einen Trojaner heruntergeladen, denn
auf meinem Bildschirm tauchen Pop-ups z.B. von crazywinnings inc. auf, die nicht verschwinden wollen.
Habe mir nun die Free -Software von Ad-Aware heruntergeladen, um die Trojaner etc. ausfindig zu machen. Habe nun das Ergebnis.
Welchen Schritt soll ich als nächstes machen?

Vielen Dank im voraus!

Hallo,

damit auch wir einen Einblick über die Infizierung bekommen, solltest du diese beiden Punkte ausführen:

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Hier das Ergebnis von hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 21:41:42, on 04.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRAMME\NORMAN\nvc\BIN\ZLH.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AMD\PowerNow!\GemServ.exe
C:\Programme\AMD\PowerNow!\gemback.exe
C:\Programme\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\PROGRAMME\NORMAN\nvc\BIN\NIP.EXE
C:\PROGRAMME\NORMAN\nvc\BIN\NYMSE.EXE
C:\PROGRAMME\NORMAN\nvc\BIN\NJEEVES.EXE
C:\PROGRAMME\NORMAN\nvc\BIN\NVCSCHED.EXE
C:\PROGRAMME\NORMAN\nvc\BIN\nvcoas.exe
C:\Programme\AOL 8.0a\waol.exe
C:\PROGRAMME\NORMAN\nvc\BIN\cclaw.exe
C:\Programme\AOL 8.0a\shellmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://searchbar.findthewebsiteyouneed.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com/default_tc.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O1 - Hosts: 80.69.74.15 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: DotComToolbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\WINDOWS\Downloaded Program Files\CONFLICT.2\toolbar_nieuw14.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Norman ZANDA] C:\PROGRAMME\NORMAN\nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [easywww] C:\windows\easywww2.exe
O4 - HKLM\..\Run: [redirect] C:\windows\redirect9a.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0a\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &RSDN Search - res://C:\WINDOWS\Downloaded Program Files\CONFLICT.2\toolbar_nieuw14.dll/GoRSDN.dll.htm
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll
O16 - DPF: {5F1ABCDB-A875-46C1-8345-B72A4567E483} - http://www.dotcomtoolbar.com/toolbar_nieuw14.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E38D37D5-AD83-4571-A5BD-C1BE611CD2B6}: NameServer = 205.188.146.145
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\AMD\PowerNow!\GemServ.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\PROGRAMME\NORMAN\nvc\BIN\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Programme\Norman\NVC\BIN\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\PROGRAMME\NORMAN\nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\PROGRAMME\NORMAN\nvc\BIN\NVCSCHED.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Mit eScan - Anti-Virus weiß ich im Moment leider nicht weiter.
Verstehe die Anleitung zum Download nicht ganz.

Was genau verstehst du nicht oder besser gesagt, bis zu welchem Punkt kannst du nachvollziehen?

Der Download von eScan hat geklappt.
Nur weiß ich nicht welche Ergebnisse ich ins Forum kopieren soll.

Zuerst solltest du wie empfohlen eScan entpacken, updaten und natürlich im abgesicherten Modus scannen und dieser Scan, je nach Speicherplatzbelegung, dauert ca. 1 Std.

Danach solltest du wie hier beschrieben die infected Einträge posten:

Zitat:

Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Ich weiß nicht genau, ob ich es bereits "entpackt" habe.
Aber hier ist der erste Ergebnisteil:


Mon Apr 04 22:22:31 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD
Mon Apr 04 22:22:31 2005 => Scanning File C:\WINDOWS\system32\JAVASUP.VXD
Mon Apr 04 22:22:31 2005 => System found infected with IstBAR Spyware/Adware ({5F1ABCDB-A875-46C1-8345-B72A4567E486})! Action taken: No Action Taken.
Mon Apr 04 22:22:31 2005 => File System Found infected by "IstBAR Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 04 22:22:31 2005 => System found infected with IstBAR Spyware/Adware ({eaf2ccee-21a1-4203-9f36-4929fd104d43})! Action taken: No Action Taken.
Mon Apr 04 22:22:31 2005 => File System Found infected by "IstBAR Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 04 22:22:31 2005 => System found infected with IstBAR Spyware/Adware ({7b9a715e-9d87-4c21-bf9e-f914f2fa953f})! Action taken: No Action Taken.
Mon Apr 04 22:22:31 2005 => File System Found infected by "IstBAR Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 04 22:22:31 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Mon Apr 04 22:22:31 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 04 22:22:31 2005 => System found infected with iSearch Spyware/Adware ({6d3f5de4-e980-4407-a10f-9ac771abaae6})! Action taken: No Action Taken.
Mon Apr 04 22:22:31 2005 => File System Found infected by "iSearch Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 04 22:22:31 2005 => System found infected with 2020Search Spyware/Adware ({fc2493d6-a673-49fe-a2ee-efe03e95c27c})! Action taken: No Action Taken.
Mon Apr 04 22:22:31 2005 => File System Found infected by "2020Search Spyware/Adware" Virus. Action Taken: No Action Taken.

Zweiter Teil von eScan:Mon Apr 04 22:22:17 2005 => File C:\windows\easywww2.exe infected by "Trojan.Win32.StartPage.aw" Virus. Action Taken: No Action Taken.

Mon Apr 04 22:22:17 2005 => File C:\windows\redirect9a.exe infected by "Trojan-Clicker.Win32.VB.ge" Virus. Action Taken: No Action Taken.

Mon Apr 04 22:22:09 2005 => File
C:\WINDOWS\DOWNLO~1\CONFLICT.2\TOOLBA~1.DLL infected by "not-a-virus:AdWare.ToolBar.Dotcom.b" Virus. Action Taken: No Action Taken.

Du sollst doch im abgesicherten Modus scannen!

Poste mal den Schluss von der mwav.log, der wie folgt aussieht:
Wed Mar 30 14:04:07 2005 => Total Files Scanned:
Wed Mar 30 14:04:07 2005 => Total Virus(es) Found:
Wed Mar 30 14:04:07 2005 => Total Disinfected Files:
Wed Mar 30 14:04:07 2005 => Total Files Renamed:
Wed Mar 30 14:04:07 2005 => Total Deleted Files:
Wed Mar 30 14:04:07 2005 => Total Errors:
Wed Mar 30 14:04:07 2005 => Time Elapsed:
Wed Mar 30 14:04:07 2005 => Virus Database Date: 2005/02/22
Wed Mar 30 14:04:07 2005 => Virus Database Count: 119164

Was bedeutet abgesicherter Modus?

Kannst du hier nachlesen -> http://www.bsi.bund.de/av/texte/wiederher_xp.htm

Der Schluss des logs lautet:

Tue Apr 05 00:36:06 2005 => Total Files Scanned: 117160
Tue Apr 05 00:36:06 2005 => Total Virus(es) Found: 200
Tue Apr 05 00:36:06 2005 => Total Disinfected Files: 0
Tue Apr 05 00:36:06 2005 => Total Files Renamed: 0
Tue Apr 05 00:36:06 2005 => Total Deleted Files: 0
Tue Apr 05 00:36:06 2005 => Total Errors: 1
Tue Apr 05 00:36:06 2005 => Time Elapsed: 02:14:45
Tue Apr 05 00:36:06 2005 => Virus Database Date: 2005/04/04
Tue Apr 05 00:36:06 2005 => Virus Database Count: 124577

Habe leider nicht im abgesicherten Modus gescannt.

Aktualisere nochmals eScan AntiVirus und leere folgende Ordner:
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temp
C:\WINDOWS\Downloaded Program Files
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temporary Internet Files

Danach scannst du im abges. Modus und präsentierst uns die Ergebnisse.

Das mit dem Aktualisieren und Ordner leeren verstehe ich nicht.
Könnt ihr mir erstmal meine bisherigen Daten erläutern und sagen,
wie ich es löschen kann?