Hallo!

Also ich habe folgendes Problem mit meinem Rechner: seitdem ich vorgestern im Internet war und das nur auf von mir häufiger besuchten Seiten und neu auf der Homepage einer mir bekannten Person, hat sich danach das Aussehen des Desktops verändert. Es ist auf einmal in einer hellblauen Farbe, nicht von mir eingerichtet, erschienen.

Unbekannte E-Mail-Anhänge öffne ich nie, daran kann es nicht liegen.

Das Logfile (nicht im abgesicherten Modus) habe ich mir erstellt und auf dieser speziellen Seite auswerten lassen, da habe ich nichts gefunden. Mein AntiVir hat auch nichts gemeldet. Ich bin immer noch mit dem Internetexplorer im Netz (Asche auf mein Haupt, ist wohl wirklich ein Fehler), habe das Betriebssystem Windows XP, ein analoges Modem und mache den Verbindungsaufbau ins Internet über den Smartsurfer. Welche Fakten werden noch benötigt?

Hat jemand eine Ahnung in welcher Richtung das Problem geht? Trojaner, Virus etc

Kann ich noch Dateien sichern oder muß ich befürchten, dass USB-Stick, CD-Rom ebenfalls verseucht werden? Welche Dateien kann ich problemlos sichern, von welchen sollte ich die Finger lassen? Kann man einen USB-Stick und Palm verseuchen? Wie kann ich meine E-Mails von dem E-Mail-Programm Mozilla Thunderbird sichern?

Frohe Weihnachtsfeiertage
Gruß
Jazzy

scan doch mal mit adaware personal www.lavasoft.de

Hi,

was kann ich mit der Auswertung anfangen? Ich habe meinen PC mit Ad-Adware gescannt, aber selbst bei den als „Kritische Objekte“ bezeichneten Rubrik war die TAC-Bewertung maximal mit 5 und darunter eingestuft.

Hat noch jemand eine Idee? Früher konnte ich BakUps machen, aber seitdem ich mal versucht habe Linux zu installieren, geht das nicht mehr.....

Gruß
Jazzy

hallo,
poste doch mal ein HJT logfile..
anleitung dazu in meiner signatur...
dann sehen wir mal weiter..

Jou, mache ich,
aber ich habe selber nix gefunden. Der InternetSammler ist ein von mir schon lange benutztes Programm und hat bisher keine Probleme gamacht.

Logfile of HijackThis v1.99.1
Scan saved at 17:29:06, on 24.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRAMME\ANTIVIR\AVGUARD.EXE
D:\Programme\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
D:\Programme\AntiVir\AVGNT.EXE
C:\WINDOWS\System32\wuauclt.exe
D:\Programme\Multimedia\WinDVR\WinScheduler.exe
D:\Programme\Multimedia\Common\Bin\WinCinemaMgr.exe
D:\Programme\PC\Scanner\CalCheck.exe
D:\Programme\PC-Sicherheit\ZoneAlarm3.7.098\ZoneAlarm\zonealarm.exe
C:\Programme\Palm\HOTSYNC.EXE
D:\Programme\PC-Sicherheit\Ad-Ware\05.12.24.Programm\Ad-Aware SE Personal\Ad-Aware.exe
D:\Programme\Internet\Verbindungsaufbau\SmartSurfer3.0\SmartSurfer.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\sol.exe
C:\Dokumente und Einstellungen\XXXXX\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_199(2).zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\Internet\Messenger\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Viewer\Adobe6\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ISShell.BHO - {7D1FD2B7-1877-451F-95CD-0CAC38C104C5} - D:\Programme\Internet\Offline\OfflineBrowser\ISShell.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - D:\PROGRA~1\Internet\DOWNLO~1\STARDO~1\BROWSE~1.DLL
O3 - Toolbar: InternetSammler-Bearbeitungsleiste - {3FE23F63-28D9-4986-A086-87D2FE07848B} - D:\Programme\Internet\Offline\OfflineBrowser\ISShell.dll
O3 - Toolbar: InternetSammler-Symbolleiste - {9724B1CB-4E72-41A9-953E-EBCEA61DD819} - D:\Programme\Internet\Offline\OfflineBrowser\ISShell.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\Internet\Messenger\ICQ\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\Programme\Internet\Messenger\ICQ\ICQ-Pro2003a\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AntiVir\AVGNT.EXE" /min
O4 - HKCU\..\Run: [T-Online Messenger (TOM)] D:\Programme\Internet\Messenger\T-Online\T-Online_Software_5\Messenger\TOM.exe
O4 - HKCU\..\RunOnce: [ICQ] D:\Programme\Internet\Messenger\ICQ\ICQ-Pro2003a\ICQ\ICQ.exe -trayboot
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: InterVideo WinScheduler.lnk = D:\Programme\Multimedia\WinDVR\WinScheduler.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\Multimedia\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = D:\Programme\PC\Scanner\CalCheck.exe
O4 - Global Startup: ZoneAlarm.lnk = D:\Programme\PC-Sicherheit\ZoneAlarm3.7.098\ZoneAlarm\zonealarm.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office\Microsoft\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\Internet\Messenger\ICQ\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Bild mit InternetSammler &speichern - res://D:\PROGRA~1\INTERNET\OFFLINE\OFFLIN~2\isshell.dll/#101
O8 - Extra context menu item: Bild mit InternetSammler ein&ordnen/speichern... - res://D:\PROGRA~1\INTERNET\OFFLINE\OFFLIN~2\isshell.dll/#108
O8 - Extra context menu item: Link-Adresse mit InternetSammler &notieren... - res://D:\PROGRA~1\INTERNET\OFFLINE\OFFLIN~2\isshell.dll/#110
O8 - Extra context menu item: Markierung mit InternetSammler &speichern - res://D:\PROGRA~1\INTERNET\OFFLINE\OFFLIN~2\isshell.dll/#104
O8 - Extra context menu item: Markierung mit InternetSammler ein&ordnen/speichern... - res://D:\PROGRA~1\INTERNET\OFFLINE\OFFLIN~2\isshell.dll/#109
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\Office\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Seitenbereich (Frame) mit InternetSammler &speichern - res://D:\PROGRA~1\INTERNET\OFFLINE\OFFLIN~2\isshell.dll/#102
O8 - Extra context menu item: Seitenbereich (Frame) mit InternetSammler ein&ordnen/speichern... - res://D:\PROGRA~1\INTERNET\OFFLINE\OFFLIN~2\isshell.dll/#106
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\Internet\Messenger\ICQ\ICQ-Pro2003a\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\Internet\Messenger\ICQ\ICQ-Pro2003a\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Internet\Messenger\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Internet\Messenger\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - D:\Programme\Viewer\IrfanView 3.97\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2579A4F-9890-48F6-BF7B-A349592E3D5B}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\ANTIVIR\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

hallo,
lass bitte diese datei:
C:\WINDOWS\system32\sol.exe

bei jotti online prüfen...
musst nur in meiner signatur draufdrücken...
teile das ergebniss bitte mit...

Dahinter verbirgt sich nur Solitär, was ich nebenbei spiele. Ich habs bei der Suchfunktion auf dem Rechner gefunden. Der Scan sagt auch, dass er ok ist.

@Jazzy:

Dein System ist nicht auf dem aktuellsten Patchlevel, z.B. fehlt das SP2. IMHO ist es unverantwortlich mit einem derart ungepatchten System zu surfen!

Neben der schon angesprochenen Datei "SOL.EXE" kommt mir die Datei "D:\Programme\Internet\Offline\OfflineBrowser\ISShe ll.dll" seltsam vor, hab zumindest nichts handfestes im Internet darüber finden können

> D:\Programme\PC-Sicherheit\ZoneAlarm3.7.098\ZoneAlarm\zonealarm.exe

Was hat ZoneAlarm im Ordner "PC-Sicherheit" zu suchen?

Hi,
danke für Eure Antworten bisher, ich hoffe aber auf noch mehr Tipps, weil das Problem noch nicht gelöst wurde.

Erstmal zu SP2. Leider ist das Volumen in der Partition C: begrenzt und ich habe eh schon immer Problememit zuwenig Speicherplatz. Das SP2 ist zu umfangreich und ich kann es nur auf der Partition C: installieren.

Die genannte DLL müßte auch zu dem InternetSammler gehören. Hier kann man sich das Programm downloden: http://www.macropool.de/de/produkte/internetsammler/

Die "Sol.exe" ist in der Tat das Solitär, was in Windiws XP unter den Spielen installiert ist, also auch nicht der Übeltäter.

Kann sich jemand die Homepage von der Bekannten ansehen ohne Probleme mit dem eigenen PC zu bekommen, falls sie infiziert ist? Ich möchte den Link hier nicht öffentlich posten.

Ich bin jetzt für 2 Tage nicht erreichbar, hoffe aber auf rege Beteiligung bei der Lösung des Problems

Gruß
Jazzy

Hat keiner mehr eine Idee??

Also das SP2 sollte schon installiert werden. Räum doch mal Deine Systempartition auf. BTW: Wie groß ist die denn?

Erstmal müsste man sehen, ob Dein System überhaupt infiziert ist. Mach dazu mal ein Scan genau nach dieser Anleitung. Und poste das "gefilterte" Log, mit der FIND.BAT erstellt wurde (GENAU die Anleitung lesen).
Wenn das System kompromittiert wurde, muss man streng genommen auch alle Datendateien als manupuliert ansehen, sofern keine Verifizierung (MD5 oder so) stattfinden kann. Ist aber eher unwahrscheinlich, ich rate bei einer Sicherung von einem infizierten System zur Sicherung aller nicht-ausführbaren Dateien.
Profile, E-Mails etc. von Mozillasoftware kannst Du mit dem Tool von http://www.mozbackup.de/ sichern.