Die aktuelle Trojaner-Lage - bin hilflos

Kruzifix

Hi!
Ich bin neu hier und auf der Suche nach einer Lösung auf die Seite gestoßen, deren Mitglieder ja hier offensichtlich doch so ziemlich den Plan haben.

Vorweg: Ich habe die Suchfunktion bereits benutzt, finde jedoch nicht die für mich richtigen Informationen.

Gerade eben wollte ich die sehr ausführlich und verständlich geschriebene Anleitung zur Entfernung des m. E. grassierenden Trojaners "CoolWebSearch" durcharbeiten - bleibe jedoch bereits bei Schritt 4 mit der Suche nach 61c00000 61440" hängen, da diese Datei nicht gefunden wird.

Nun hab ich gerade eben nochmal ein Browserfenster aufgemacht: die Startseite lautet "allaboutsearching.com". Hat das damit auch etwas zu tun oder ist das ein völlig anderes Problem?

Weiterhin habe ich festgestellt, dass die Prozessorauslastung deutlich höher ist, als normal. Hängt das damit zusammen`?

Beim Prüfen mittels Norton werden die Dateien "bi.dll" (2x) und "biprep.exe" (1x) gefunden, welche ich jedoch nicht entfernen/löschen kann.

Wäre echt klasse, wenn sich einer der "Checker" hier mal meines Problems annehmen könnte - wieder merke ich, dass ich von PC nahezu keine Ahnung habe!

Doch - ein bisschen... aber eben nicht genug. Bin mir sicher, dass ich aus meinem Bekanntenkreis dann den ein oder anderen Problemfall guten Gewissens hierher empfehlen kann...

Kompliment an die Macher!

Herzlichen Gruß - Kruzifix


EDIT: Hab grad bemerkt, dass ich das LogFile von HijackThis nicht gepostet habe... dort finde ich auch einen entsprechenden Eintrag mit dieser Startseite... aber wie gehe ich weiter vor?

Logfile of HijackThis v1.97.7
Scan saved at 21:31:59, on 07.05.2004
Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\htpatch.exe
C:\PROGRA~1\SURFWA~1\EQ CHIN.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\NORTON~1\NORTON~4\GHOSTS~2.EXE
D:\NORTON SYSTEM-WORKS 2004\Norton Antivirus\navapsvc.exe
D:\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\TDSL-SPEED-MANAGER\tsmsvc.exe
D:\NORTON SYSTEM-WORKS 2004\Norton Antivirus\SAVScan.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
G:\AusFreshDownloads\Unsortiert\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://allaboutsearching.com/passthr..._PVER}&ar=home
F1 - win.ini: run=C:\WINDOWS\miro\COMMON\PINBOARD.EXE
O1 - Hosts: LH
LH
�
H
�
H
˜
H
˜
H
*
H
*
H
¨
H
¨
H
°
H
°
H
ÈÿH
ÈÿH
À
H
À
H
È
H
È
H
Ð
H
Ð
H
èvH
èvH
à
H
à
H
è
H
è
H
ð
H
ð
H
ø
H
ø
H
ˆH
�H
�H
˜H
˜H
*H
*H
¨H
¨H
°H
°H
¸H
¸H
ÀH
ÀH
ÈH
ÈH
ÐH
ÐH
ØH
ØH
àH
àH
èH
èH
ðH
ðH
øH
øH

O1 - Hosts: �H
˜H
˜H
*H
*H
¨H
¨H
°H
°H
¸H
¸H
ÀH
ÀH
ÈH
ÈH
ÐH
ÐH
ØH
ØH
àH
àH
èH
èH
ðH
ðH
øH
øH

O1 - Hosts: NH
ˆ
H

O1 - Hosts: www.look2me1.com
O1 - Hosts: ¨A[
x
[
www.look2me2.com
O1 - Hosts: ÀC[
x
[
www.look2me3.com
O1 - Hosts: ØE[
x
[
www.look2me4.com
O1 - Hosts: www.look2me5.com
O1 - Hosts: L[
L[
�
[
�
[
˜
[
˜
[
*
[
*
[
¨
[
¨
[
°
[
°
[
‡[
‡[
À
[
À
[
È
[
È
[
Ð
[
Ð
[
Ø
[
Ø
[
à
[
à
[
è
[
è
[
ð
[
ð
[
ø
[
ø
[
ˆ[
�[
�[
˜[
˜[
*[
*[
¨[
¨[
°[
°[
¸[
¸[
À[
À[
È[
È[
Ð[
Ð[
Ø[
Ø[
à[
à[
è[
è[
ð[
ð[
ø[
ø[

O1 - Hosts: �[
˜[
˜[
*[
*[
¨[
¨[
°[
°[
¸[
¸[
À[
À[
È[
È[
Ð[
Ð[
Ø[
Ø[
à[
à[
°”[
°”[
ð[
ð[
ø[
ø[

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\TDSL-S~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [MATH REMOTE] C:\PROGRA~1\SURFWA~1\EQ CHIN.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BlockAds] "D:\TWEAK-XP-DEMO UpdateTo Full\AdBlocker.exe"
O4 - Global Startup: ZoneAlarm Pro.lnk = D:\ZONE-ALARM-PRO\ZoneAlarm\zapro.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MSOFFI~1\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: WebSpeech (HKLM)
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02e29a43...dxIE601_de.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.co...043.3895138889
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {DDFFA75A-E81D-4454-89FC-B9FD0631E726} - http://www.bundleware.com/activeX/DS3/DS3.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?316
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA34D3EF-2205-4E26-AF3E-0D28A4324A18}: NameServer = 83.120.6.30 217.9.110.242

[ 07. Mai 2004, 21:35: Beitrag editiert von: Kruzifix ]