Hallo,
ich habe seit gestern einen Trojaner, welcher meine Startseite verstellt. Ich habe schon alles mögliche ausprobiert um ihn zu löschen, aber der will nicht weg javascript:void(0)
javascript:void(0). Vielleicht fällt euch ja noch was ein. Hier mein HijackThis-Logfile:

Logfile of HijackThis v1.97.7
Scan saved at 16:20:25, on 26.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
D:\EigeneDats\DOWNLOAD\Tools\mozilla\bin\mozilla.exe
C:\Dokumente und Einstellungen\Neo\Desktop\hijackthis1977\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = *http://cashsearch.biz/redir1.php*
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = *http://cashsearch.biz/redir1.php*
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = *http://cashsearch.biz/redir1.php*
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = *http://cashsearch.biz/redir1.php*
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = *http://cashsearch.biz/redir1.php*
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = *http://cashsearch.biz/redir1.php*
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Brennen\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Zahlungserinnerung.lnk = D:\HCW\wzed.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C1FC0B0-4129-4E9E-BEFB-702F58928A7F}: NameServer = 192.168.0.250


Vielen Dank
Neo25


[img]graemlins/heulen.gif[/img]

[ 26. Mai 2004, 16:40: Beitrag editiert von: Neo25 ]

Versuch's wenn möglich mal bitte mit der neusten ewido security suite (http://www.ewido.net), die sollte das nun eigentlich erkennen und entfernen können, würde mich echt mal interessieren, ob's hinhaut, danke [img]smile.gif[/img]

Ach ja wichtig... sollte was gefunden werden, danach mittels HJT folgende Einträge fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = *http://cashsearch.biz/redir1.php*
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = *http://cashsearch.biz/redir1.php*
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = *http://cashsearch.biz/redir1.php*
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = *http://cashsearch.biz/redir1.php*
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = *http://cashsearch.biz/redir1.php*
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = *http://cashsearch.biz/redir1.php*

Der Scan-Report sieht so aus:

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 18:43:16, 26.05.2004
+ Report-Checksumme: 909CECB7

+ Datum der Signaturen: Keine Signaturen vorhanden!
+ Version der Scanengine: v1.1

+ Suchdauer: 34 min
+ Untersuchte Dateien: 60477
+ Geschwindigkeit: 29.56 Dateien/Sekunden
+ Infizierte Dateien: 0
+ Entfernte Dateien: 0
+ Unter Quarantäne gestellte Dateien: 0
+ Dateien, die nicht geöffnet werden konnten: 25
+ Dateien, die nicht gesäubert werden konnten: 0


+ Endung ignorieren: Ja
+ Binder: Ja
+ Crypter: Ja
+ Speicher: Nein
+ Archive: Nein
+ Heuristik: Nein

+ Gescannt wurde:
C:\
D:\
E:\
F:\
G:\

+ Scanergebnis:
C:\PAGEFILE.SYS -> Datei konnte nicht geöffnet werden
C:\WINDOWS\system32\config\system.LOG -> Datei konnte nicht geöffnet werden
C:\WINDOWS\system32\config\software.LOG -> Datei konnte nicht geöffnet werden
C:\WINDOWS\system32\config\default.LOG -> Datei konnte nicht geöffnet werden
C:\WINDOWS\system32\config\SECURITY -> Datei konnte nicht geöffnet werden
C:\WINDOWS\system32\config\SAM -> Datei konnte nicht geöffnet werden
C:\WINDOWS\system32\config\SAM.LOG -> Datei konnte nicht geöffnet werden
C:\WINDOWS\system32\config\SECURITY.LOG -> Datei konnte nicht geöffnet werden
C:\WINDOWS\system32\config\SYSTEM -> Datei konnte nicht geöffnet werden
C:\WINDOWS\system32\config\DEFAULT -> Datei konnte nicht geöffnet werden
C:\WINDOWS\system32\config\SOFTWARE -> Datei konnte nicht geöffnet werden
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT -> Datei konnte nicht geöffnet werden
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat -> Datei konnte nicht geöffnet werden
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG -> Datei konnte nicht geöffnet werden
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG -> Datei konnte nicht geöffnet werden
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT -> Datei konnte nicht geöffnet werden
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG -> Datei konnte nicht geöffnet werden
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat -> Datei konnte nicht geöffnet werden
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG -> Datei konnte nicht geöffnet werden
C:\Dokumente und Einstellungen\Neo\NTUSER.DAT -> Datei konnte nicht geöffnet werden
C:\Dokumente und Einstellungen\Neo\NTUSER.DAT.LOG -> Datei konnte nicht geöffnet werden
C:\Dokumente und Einstellungen\Neo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat -> Datei konnte nicht geöffnet werden
C:\Dokumente und Einstellungen\Neo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG -> Datei konnte nicht geöffnet werden
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BargainBuddy7.zip -> Datei konnte nicht geöffnet werden
C:\hiberfil.sys -> Datei konnte nicht geöffnet werden


::Report Ende

Sind die Dateien nicht lesbar, weil sie vom Virus befallen sind???
Wenn ja, was sollte ich dann am besten tun?

Nein, aber du musst schon die Signaturen laden

</font><blockquote>Zitat:</font><hr />Datum der Signaturen: Keine Signaturen vorhanden!</font>[/QUOTE]

</font><blockquote>Zitat:</font><hr />Original erstellt von Neo25:
Sind die Dateien nicht lesbar, weil sie vom Virus befallen sind???
Wenn ja, was sollte ich dann am besten tun? </font>[/QUOTE]Nein, dass sind ganz "normale" System-Dateien (Benutzerdatenbank, Auslagerungsdatei, etc...) die glücklicherweise vom Betriebssystem geschützt werden.
Warum allerdings die Software es nicht schafft im Gegensatz zu anderen Programmen darüber zu schweigen (zumindestens im DAU-Modus) und unerfahrene User schreckt, kapier ich nicht.

Hallo Neo,

such mal auf Deinem Rechner nach dieser Datei: C:\WINDOWS\system32\system32.dll
und überprüfe diese online bei Kaspersky -&gt; http://www.kaspersky.com/de/scanforvirus.html

Fast würde ich wetten, dass es diese Datei auf dem Rechner gibt und diese als infiziert gemeldet wird...

Ja diese Datei ist zu, 99,999% "infiziert" und würde auch mit Signaturen von ewido erkannt werden [img]smile.gif[/img]

</font><blockquote>Zitat:</font><hr />Warum allerdings die Software es nicht schafft im Gegensatz zu anderen Programmen darüber zu schweigen (zumindestens im DAU-Modus) und unerfahrene User schreckt, kapier ich nicht.</font>[/QUOTE]Naja, weil es in Tests Punktabzug gibt [img]smile.gif[/img]
Werden aber bald bestimmte Dateien, von denen man echt sicher sagen kann, sie sind Windows-Dateien, ausblenden... Bleiben trotzdem noch einige übrig, von daher... naja... kann man eigentlich gleich alle anzeigen [img]smile.gif[/img]

Habe die Datei gefunden und geprüft.
Sie war vom Virus befallen. Ist das überhaupt eine Systemdatei??? Wenn nicht, kann ich sie doch einfach löschen, oder?

Ist keine Systemdatei - weg damit [img]smile.gif[/img]

Juhu!!!
Ich glaube ich bin ihn los.
Ich habe die System32.dll im Abgesicherten Modus gelöscht, nach einem Neustart HJT nochmal ausgefürt und die "bösen Sachen" gefixt. Jetzt werde ich noch einen Neustart machen. Aber bis jetzt sieht's schon mal sehr gut aus!!!javascript:void(0)
javascript:void(0)

Scan lieber trotzdem nochmal drüber, das Teil hat auf meinem Testsystem einige andere Sachen noch nachgeladen und nicht nur ins Windows-Verzeichnis gepackt...

Wird sofort gemacht!
...Und diesmal mit Signaturen javascript:void(0)
javascript:void(0)

Oh, der findet ja wirklich noch ein paar dateien!
Sollte man wirklich Sicherheitskopien in der Quarantäne anlegen lassen???