Hallo!

Hab ein kleines Problem. Und zwar fiel es mir letztens auf, als ich in einem Forum war und dort einen Link öffnen wollte, den jemand gepostet hat. Allerdings führte der Link nicht zur Zielseite, sondern zu google, wo schon irgendwelche Suchbegriffe eingegeben waren.
Nun hab ich gedacht, da ist irgendwas schief gelaufen, aber das ist mir jetzt auch noch auf anderen websites passiert, wenn ich da Links angeklickt hab. Da kommt dann immer die google-Seite und dann schmiert der Rechner ab!
hab Spybot, Tune-Up und Ad-Aware durchlaufen lassen, aber der Fehler wurde nicht behoben.
Hat jemand eine Ahnung, was das sein könnte??

Gruß!

Hallo,

poste ein HijackThis Logfile, Anleitung zur Erstellung in meiner Signatur.

Gruß

Schrulli

Logfile of HijackThis v1.99.1
Scan saved at 14:38:24, on 08.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\DOKUME~1\****\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office 11\Programs\QFSCHD110.EXE"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2AE18042-31A2-443E-88A0-662B9F6844D3}: NameServer = 85.255.115.59,85.255.112.77
O17 - HKLM\System\CCS\Services\Tcpip\..\{48AF5CD8-FF8D-4BDD-BEF3-AB42C3615845}: NameServer = 85.255.115.59,85.255.112.77
O17 - HKLM\System\CS1\Services\Tcpip\..\{2AE18042-31A2-443E-88A0-662B9F6844D3}: NameServer = 85.255.115.59,85.255.112.77
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

So, hoffe mal, da wird jemand draus schlau

Hallo,

Zitat:

Zitat von ricochet

O17 - HKLM\System\CCS\Services\Tcpip\..\{2AE18042-31A2-443E-88A0-662B9F6844D3}: NameServer = 85.255.115.59,85.255.112.77
O17 - HKLM\System\CCS\Services\Tcpip\..\{48AF5CD8-FF8D-4BDD-BEF3-AB42C3615845}: NameServer = 85.255.115.59,85.255.112.77
O17 - HKLM\System\CS1\Services\Tcpip\..\{2AE18042-31A2-443E-88A0-662B9F6844D3}: NameServer = 85.255.115.59,85.255.112.77

ist Dein Provider "WV Fiber"? Ansonsten im HJT fixen.
Der Rest sieht normal aus.

Gruß

Schrulli

Danke erst mal für deine Mühe! Aber ich bin nicht so der Fachmann, daher weiß ich auch nicht, ob "WV Fiber" mein Provider ist. Meinst du damit meinen Internetzugang? Ich bin bei 1&1 DSL.
Und, äh, wo hast du das mit dem "WV Fiber" gelesen? Sind die betroffenen Dateien die 017er?

Hallo,

die Ip´s in diesen Einträgen landen auf Servern http://www.wvfiber.net/
dieser Firma, daher die Frage.
Da Du bei 1und1 bist, fixe diese Einträge.
Und dieser

Zitat:

O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab

sollte auch raus, falls DU ihn nicht kennst.

Edit: Nach einem Tip von Wildone(Danke dafür ), lade Dir http://www.f-secure.com/blacklight/
doppelklicke blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop (hier posten)

Gruß

Schrulli

Also ich hab erst mal die paar Sachen da gefixt und jetzt funzt es wieder! Danke für die Hilfe!!! Das andere, was du noch als Edit angefügt hast, werd ich mal auch noch machen..

Hallo,

um sicherzugehen das alles gut ist, führe dies aber recht bald aus.
Sonst kommen die Probleme vlt. schneller wieder als uns lieb ist

Gruß

Schrulli

03/09/06 15:54:38 [Info]: BlackLight Engine 1.0.33 initialized
03/09/06 15:54:38 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/09/06 15:54:39 [Note]: 7019 4
03/09/06 15:54:39 [Note]: 7005 0
03/09/06 15:54:45 [Note]: 7006 0
03/09/06 15:54:45 [Note]: 7011 1492
03/09/06 15:54:46 [Note]: FSRAW library version 1.7.1015
03/09/06 15:56:03 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
03/09/06 15:56:03 [Note]: 10002 1
03/09/06 15:56:08 [Info]: Hidden file: C:\WINDOWS\system32\csjqz.exe
03/09/06 15:56:08 [Note]: 7002 32
03/09/06 15:56:08 [Note]: 7003 1
03/09/06 15:56:08 [Note]: 10002 1
03/09/06 15:56:09 [Info]: Hidden file: C:\WINDOWS\system32\dmikf.exe
03/09/06 15:56:09 [Note]: 7002 32
03/09/06 15:56:09 [Note]: 7003 1
03/09/06 15:56:09 [Note]: 10002 1
03/09/06 15:56:09 [Info]: Hidden file: C:\WINDOWS\system32\favset.exe
03/09/06 15:56:09 [Note]: 10002 1
03/09/06 15:56:10 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
03/09/06 15:56:10 [Note]: 10002 1
03/09/06 15:56:17 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe
03/09/06 15:56:18 [Note]: 10002 1
03/09/06 15:56:18 [Info]: Hidden file: C:\WINDOWS\system32\howiper.exe
03/09/06 15:56:18 [Note]: 10002 1
03/09/06 15:56:21 [Info]: Hidden file: C:\WINDOWS\system32\sphlp32.exe
03/09/06 15:56:34 [Note]: 7002 5
03/09/06 15:56:34 [Note]: 7003 1
03/09/06 15:56:34 [Note]: 10002 1



Also das ist jetzt das von F-secure.

Hallo,

sieht aus, als hätte Wildone recht gehabt.
Scanne mal online

C:\WINDOWS\system32\filesafer23.exe
C:\WINDOWS\system32\howiper.exe

Zitat:

Zitat von stupormundi

bei http://virusscan.jotti.org/de und/oder http://www.virustotal.com/flash/index_en.html prüfen und poste das Ergebnis anschließend hier. Falls Du bei Jotti eine Fehlermeldung (0 bytes ...) bekommst, beende den zur Datei gehörenden Prozess und/oder deaktiviere temporär Deine Personal FireWall.
Sollte beides nichts bringen, kopiere die Dateien in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur. Achte bei den angegebenen Dateinamen auf die genaue Schreibweise und den exakten Pfad!

Gruß

Schrulli

Also ich hatte ja dann die Probleme, die F-Secure angezeigt hat, behoben. Allerdings stehen in der Logdatei immer noch die

C:\WINDOWS\system32\filesafer23.exe
C:\WINDOWS\system32\howiper.exe

Hab jetzt also die ganze Logdatei durch Online-Scanner gejagt und der sagte mir, dass nichts gefunden wurde.

Hallo,

nicht die LogDatei, sondern die eigentlichen Dateien hochladen.
Du kannst ganz einfach den Pfad in das Feld kopieren.

Gruß

Schrulli

Oha, alles klar! Hmm, die erste Datei konnte nur AntiVir identifizieren. Dabei hab ich doch immer den AntiVir laufen.
Als ich da mit dem Hijack-dingens gescannt hab, meinte er in der Auswertung, dass ich kein Antivirusprogramm aktiviert hab und auch keine firewall. Hab aber alles aktiviert. Da hat er sich wohl geirrt, oder?

Hallo ricochet,
du hast ein ausgewachsenes Rootkit auf deinem PC, da sich dieses sehr tief in das System eingräbt kann es nicht ohne weiteres mit Gewißheit beseitigt werden. Um das System wieder in einen vertrauenswürdigen Zustand zu versetzen solltest du Formatieren und Neuaufsetzen.
Eine Anleitung wie du dabei und bei der anschließenden Absicherung vorgehen solltest findest du hier.



Grüße Wildone

Oh shit. Woran siehst du das jetzt genau? Und das krieg ich so nicht weg? So ein Mist, dabei hab ich doch erst letztens den Rechner platt gemacht.
Komischerweise hatte ich danach, als ich XP neu drauf gemacht hab, neben C: noch die Partition D:, die aber noch nicht formatiert ist.
Kann ich diverse wichtige Dateien nach D: verschieben, bevor ich C: platt mache und dann XP neu drauf mache?

Achso, und was ist ein Rootkit?