Hallo,

man bin ich froh, diese Seite gefunden (empfohlen bekommen) zu haben [img]graemlins/knuddel.gif[/img]

Dank Eurer Hilfe in anderen Fällen habe ich folgendes gemacht:

Hijack
Ad-aware
CWShredder

Ich habe Norton und Spybot und Windows ist auf dem neuesten Stand. ActiveX ist deaktiviert.

Der ursprüngliche Übeltäter greatsearch ist verbannt aber ich werde den o.a. nicht los.

Er erscheint immer wieder ( Internet Explorer Startseite).

Hoffenlich könnt Ihr mir helfen, den Übeltäter loszuwerden!

Logfile of HijackThis v1.97.7
Scan saved at 20:36:35, on 09.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\T-ONLINE\BSW4\ToADiMon.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Free Surfer\fs20.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\PROGRA~1\NORTON~1\WinFax\WFXSWTCH.exe
C:\WINDOWS\System32\wfxsnt40.exe
C:\AA Viruscheck\Ad-aware 6\Ad-aware.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\soht.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Microsoft ActiveSync\WCESMgr.exe
C:\Programme\Gigaset\talk&surf 5.1\SEMon21.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\TextBridge Pro 9.0\Bin\Ereg\Remind32.exe
C:\PROGRA~1\INCRED~1\bin\ImApp.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Gigaset\talk&surf 5.1\xControlCOM.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\Messenger\msmsgs.exe
C:\AA Viruscheck\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://popka1978.ud-dial.biz/connect.cg
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-ONLINE\BSW4\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [freesurfer] C:\Programme\Free Surfer\fs20.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [WFXSwtch] C:\PROGRA~1\NORTON~1\WinFax\WFXSWTCH.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Ad-aware] "C:\AA Viruscheck\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [Spamihilator] C:\Programme\Spamihilator\spamihilator.exe
O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\soht.exe
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\TextBridge Pro 9.0\Bin\Ereg\Remind32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: talk&surf 5.1 Monitor.lnk = ?
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O9 - Extra button: Free Surfer (HKLM)
O9 - Extra 'Tools' menuitem: Free Surfer (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O12 - Plugin for ôå : C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E8BB71E-952D-482E-BE75-EA9F2FA5C3F8}: NameServer = 217.237.151.33 194.25.2.129

Was kann/muss ich rausschmeissen (wie gesagt, poka 1978 erscheint trotz Löschung immer wieder)

Bin für alle Ratschläge dankbar!

best regards

Stefan

Hallo Stefan und willkommen im Board,

</font><blockquote>Zitat:</font><hr />
...
Ad-aware
CWShredder...[/QB]</font>[/QUOTE]Sind die Tools auf aktuellstem Stand? Wenn nein, bitte aktualisieren und nochmals ausführen.

Zusätzlich zu Ad-aware solltest Du Dir noch Spybot und evtl. SpywareBlaster herunterladen, ebenfalls aktualisieren und dann starten.
Links zu beiden Tools findest Du u.a. hier:
http://www.bul-online.de/av/spyware.shtml

Gruß,
Lutz

Hallo Lutz,

erstmal Danke für die schnelle Hilfe.

Werde mir die Tools gleich runterladen.

Bei den beiden anderen Tools habe ich sofort nach dem runterladen ein update gemacht :-(

Wie schaut es denn mit meinem o.a. Logfile aus - ist da alles sauber ?

Ich melde mich dann nochmal, wenn ich "Deine" Tools angewendet habe.Ups, sehe gerade: Spybot habe ich ja bereits.

best regards

Stefan

Ja,

das Du Spybot schon hast habe ich beim zweiten lesen dann auch gesehen...

</font><blockquote>Zitat:</font><hr />Wie schaut es denn mit meinem o.a. Logfile aus - ist da alles sauber ?</font>[/QUOTE]Nicht wirklich! Würde ich zumindest aus der Ferne sagen. Mein 'Problem' ist, dass Du sehr viele Einträge unter 04 hast, die mir so nichts sagen.
Versuch doch bitte mal, hier
http://www.sysinfo.org/startupinfo.php selbst zu ermitteln, welche Einträge sauber sind. Du kennst ja Deine (bewusst) installierte Software besser als ich. Unbekannte Einträge würde ich an Deiner Stelle fixen. Schreib Dir am besten die Pfade zu den gefixten Dateien vorher auf, damit Du sie ggf. nachher zur Analyse (beispielsweise bei Kaspersky wiederfindest.
Bei sysinfo.org musst Du heute allerdings scheinbar viel Geduld mitbringen und mehrfach die Seite aktualisieren, damit du etwas angezeigt bekommst. Scheinbar ist der Server überlastet...

Lutz

Du hast WIN XP.
Du kannst den IE nicht deinstallieren.

Bezüglich des Trojaners verwende bitte einmal www.google.de .
Da findest du einige Infos.

So, ich nochmal

@ Lutz:
Habe das Problem noch nicht in den Griff bekommen

Soweit alles ausprobiert - ich finde aber nicht heraus, wo sich dieses blöde "popka1978..." befindet.

Da er sich ja immer wieder in der Startseite des IE installiert meine Frage, ob ich den IE lösche und neu aufspiele? bringt das was? Was mach ich in diesem Fall mit meinen 200 Favoriten ?

Norton hat inzwischen einen Virus entdeckt: W32.HLLW.Gaobot.gen Norton kann ihn aber nicht entfernen und ich auch nicht( [img]graemlins/heulen.gif[/img] ).

Wenn mein PC nicht so mit Fotoalben,Dokumenten etc. befrachtet wäre, würde ich neu aufspielen - aber ich habe die Hoffnung auf Hilfe noch nicht aufgegeben.

best regards

Stefan

Hallo Zusammen,

zwischenzeitlich habe ich über onlinescan bei TREND MICRO den Verursacher/tatsächlichen Namen von popka1978... : TROJ_IEFEATS.A

Ich hoffe, dass ich jetzt nicht erschlagen werde, wenn ich die Beschreibung von Trend Micro hier anhänge [img]graemlins/kloppen.gif[/img]
(leider sind meine Englischkenntnisse auch nicht perfekt)


Beschreibung:
This memory-resident Trojan drops Browser Helper Objects (BHO) in the My Documents folder. The dropped files, which automatically execute once the Web browser is opened, are as follows:

IEFEATSL.DLL
MSIESH.DLL
It also drops several files in the Program Files and Windows folders.

This UPX-compressed malware runs on Windows 95, 98, ME, NT, 2000, and XP.



Lösung:
Note that since this malware is a Browser Helper Object (BHO), it is recommended that all running browser windows are closed.

Identifying the Malware Program

Before proceeding to remove this malware, first identify the malware program.

Scan your system with TREND MICRO antivirus and NOTE all files detected as TROJ_IEFEATS.A. To do this, TREND MICRO customers must download the latest pattern file and scan their system. Other Internet users can use HouseCall, TREND MICRO's free online virus scanner.

Terminating the Malware Program

This procedure terminates the running malware process from memory. You will need the name(s) of the file(s) detected earlier.

Open Windows Task Manager.
On Windows 95/98/ME systems, press
CTRL+ALT+DELETE
On Windows NT/2000/XP systems, press
CTRL+SHIFT+ESC, then click the Processes tab.
In the list of running programs*, locate the malware file or files detected earlier.
Select one of the detected files, then press either the End Task or the End Process button, depending on the version of Windows on your system.
Do the same for all detected malware files in the list of running processes.
To check if the malware process has been terminated, close Task Manager, and then open it again.
Close Task Manager.
*NOTE: On systems running Windows 95/98/ME, Task Manager may not show certain processes. You may use a third party process viewer to terminate the malware process. Otherwise, continue with the next procedure, noting additional instructions.

Resetting Internet Explorer Homepage and Search Page

This procedure restores the Internet Explorer homepage and search page to the default settings.

Close all Internet Explorer windows.
Open Control Panel. Click Start&gt;Settings&gt;Control Panel.
Double-click the Internet Options icon.
In the Internet Properties window, click the Programs tab.
Click the “Reset Web Settings…” button.
Select “Also reset my home page.” Click Yes.
Click OK.
Deleting Malware Files and Folders

Right-click Start then click Search… or Find… depending on your version of Windows.
In the Named input box, type:
iefeatsl;Submit;MSHP.DLL
In the Look In drop-down list, select the drive which contains Windows, then press Enter.
Delete the files and folders as they are found.
Removing Autostart Entries from the Registry

Removing autostart entries from the registry prevents the malware from executing during startup.

Open Registry Editor. To do this, click Start&gt;Run, type Regedit, then press Enter.
In the left panel, double-click the following:
HKEY_CURRENT_USER&gt;Software&gt;Microsoft&gt;
Windows&gt;CurrentVersion&gt;Runonce
In the right panel, locate and delete the entry:
iefeatslUpdate = "rundll32 &lt;path of the malware&gt;\
iefeatsl.dll,UpdateDlls"
Close Registry Editor.
NOTE: If you were not able to terminate the malware process from memory as described in the previous procedure, restart your system.
Additional Windows ME/XP Cleaning Instructions

Running TREND MICRO Antivirus

Scan your system with TREND MICRO antivirus and delete all files detected as TROJ_IEFEATS.A. To do this, TREND MICRO customers must download the latest pattern file and scan their system. Other Internet users can use HouseCall, TREND MICRO’s free online virus scanner.


Ich habe in der registry mal reingeschaut und die Übeltäter auch gefunden.
Da ich CP-Laie bin, traue ich mich nicht, einfach zu löschen. Macht es überhaupt Sinn, dass ich das selber mache oder wäre das mit Eurer Hilfe möglich?

Würde mich über weitere Hilfe sehr freuen

best regards

malinoir

ps: Der Wurm W32.Gaobot.gen ist von Norton inzwischen isoliert [img]smile.gif[/img]

</font><blockquote>Zitat:</font><hr />Original erstellt von cabby:
Ich hoffe, dass ich jetzt nicht erschlagen werde, wenn ich die Beschreibung von Trend Micro hier anhänge [img]graemlins/kloppen.gif[/img]
(leider sind meine Englischkenntnisse auch nicht perfekt)</font>[/QUOTE]Hallo,

natürlich wird hier niemand erschlagen!
Aber sag uns doch bitte, an welcher Stelle/an welchen Stellen der Beschreibung du Probleme hast, dann brauchen wir nicht den ganzen Text zu übersetzen...

Gruß,
Lutz

@ all

vielen Dank an dieses tolle Forum und alle die mir geholfen haben !!!

Inzwischen hat sich das Problem( Beseitigung des Virus durch CWShredder ?)insofern erledigt, das ich nicht ins Internet mehr konnte und einige Programme auch nicht mehr richtig liefen. Also reset und nun mit AKV, ad-aware, mozilla Browser und Spybot (nochmals dank an dieses Forum [img]graemlins/party.gif[/img] ) hoffentlich in Zukunft besser geschützt bin.

best regards

Stefab