Hallo

Mein Rechner ist in letzter Zeit ein bischen "merkwürdig". Manchmal funzt mein Mailprog nicht. Manchmal komm ich auf anderen Links raus, die ich nicht angeklickt habe. Und er rödelt manchmal lange auf der Platte rum. Vielleicht könnt ihr mir helfen und was mit dem escan log anfangen:


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Dec 11 18:26:53 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Sun Dec 11 18:26:54 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Sun Dec 11 19:00:39 2005 => Scanning File H:\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected.wav
Sun Dec 11 19:29:06 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Dec 11 18:26:34 2005 => Offending Key found: HKLM\Software\gnu !!!
Sun Dec 11 18:26:53 2005 => Offending file found: C:\DOKUME~1\***\LOKALE~1\Temp\insthelp.dll
Sun Dec 11 18:26:54 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\insthelp.dll
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Dec 11 19:29:06 2005 => Total Virus(es) Found: 3
Sun Dec 11 19:29:06 2005 => Total Errors: 25
Sun Dec 11 19:29:06 2005 => Time Elapsed: 01:03:06
Sun Dec 11 19:29:06 2005 => Total Objects Scanned: 46611
Sun Dec 11 18:11:06 2005 => Virus Database Date: 2005/12/02
Sun Dec 11 18:11:52 2005 => Virus Database Date: 2005/12/11
Sun Dec 11 18:25:29 2005 => Virus Database Date: 2005/12/11
Sun Dec 11 19:29:06 2005 => Virus Database Date: 2005/12/11
Sun Dec 11 19:47:37 2005 => Virus Database Date: 2005/12/11
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Vielen Dank im Voraus
sugo

@sugo
poste bitte auch ein HJT logfile
anleitung

chaosman

Wow, danke für die schnelle Antwort.
Ich habe das hijacklog im abgesicherten Modus gemacht. Ich hoffe das war richtig so.:

Logfile of HijackThis v1.99.1
Scan saved at 20:41:10, on 11.12.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE
H:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gmx.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von GMX
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PMXInit] C:\WINNT\System32\pmxinit.exe
O4 - HKLM\..\Run: [KAVPersonal50] "h:\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "H:\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [LexPPS.exe] C:\WINNT\system32\lexpps.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] h:\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = H:\Microsoft Office\Office\FINDFAST.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.gmx.de
O15 - Trusted Zone: http://download.windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130612790618
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: kavsvc - Kaspersky Lab - h:\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe


sugo

@sugo

*Ahem* in der anleitung steht nichts von logfile erstellen der abgesicherten modus. bitte erstelle eins aus den normalen modus

chaosman

Ähm, tschuldigung
Jetzt aus`m normalen Modus. :

Logfile of HijackThis v1.99.1
Scan saved at 22:24:43, on 11.12.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
H:\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINNT\system32\lexpps.exe
H:\Spybot - Search & Destroy\TeaTimer.exe
H:\Microsoft Office\Office\FINDFAST.EXE
H:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gmx.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von GMX
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PMXInit] C:\WINNT\System32\pmxinit.exe
O4 - HKLM\..\Run: [KAVPersonal50] "h:\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "H:\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] h:\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = H:\Microsoft Office\Office\FINDFAST.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.gmx.de
O15 - Trusted Zone: h**p://download.windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130612790618
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: kavsvc - Kaspersky Lab - h:\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

Scheint auf den ersten Blick kein unterschied zu sein.
Ich habe mich als Administrator angemeldet um diese scans zu machen. Normalerweise melde ich mich immer als Benutzer an meinem PC an um zu arbeiten, weil das sicherer sein soll. Wenn ich als Benutzer versuche zu scannen, kommen einige Fehlermeldungen.

Kannst du damit jetzt was anfangen, oder mach ich mir zuviel, oder in die falsche Richtung Sorgen?

sugo

Hallo
Ich würde mich sehr über eine Antwort freuen!

sugo

Das Log schaut sauber aus.
Leere den Cache des IE mit www.clearprog.de

Beherzige die Tipps, die auf
www.cidres-security.de
und
http://malware.derbilk.de
gegeben werden.

Nochmals vielen Dank, entschuldigt meine Ungeduld, ich weiß eure Hilfe sehr zu schätzen

Ich kann dich durchaus verstehen, aber wie ich schon schrieb, es ist nicht unwahrscheinlich, dass ein Thread einfach "untergeht".

Du sprachst von Links, die in die falsche Richtung laufen. Prüfe bitte

1. Die Hosts-Datei

a) Ist sie richtig in der Registry eingertagen. Hierzu öffnest Du den Registrierungseditor (Start > Ausführen > regedit). Nun klickst Du Dich zu folgendem Ziel durch:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Rechts findest Du einen Eintrag, der DatabasePath heisst. Überprüfe bitte, ob er wie folgt aussieht:

%SystemRoot%\System32\drivers\etc

%SystemRoot% ist Dein Windowsordner.

b) Du suchst nun gemäß der Ortsangabe (die in DatabasePath steht) die Hosts-Datei und postest bitte deren Inhalt.


2. Lade Dir bitte folgende Tools:

a) KProcCheck

http://www.security.org.sg/code/KProcCheck-0.2beta2.zip

b) Rootkit Revealer

http://www.sysinternals.com/Files/RootkitRevealer.zip

3. Scanne mit den Tools

a) KProcCheck

Start > Ausführen > cmd

In das Verzeichnis gehen wo KProcCheck sich befindet und ausführen

KProcCheck.exe -d >> C:\kproc.txt
KProcCheck.exe -t >> C:\kproc.txt
KProcCheck.exe -g >> C:\kproc.txt

Inhalt der kproc.txt bitte posten.

b) Rootkitrevealer entpacken und starten.

Scannen (Options > beide Häckchen setzen)

Nach dem Scan, Log sichern (File > save) und Inhalt posten.