Ich habe den Fehler gemacht, ein Key-Generator, den ich im Internetz gefunden habe, zu benutzen. Nach dem bekam ich erst Probleme mit Mssearchnet.exe, aber habe es geschafft, das loszuwerden.

Ich hatte danach immernoch Probleme mit IE-popups, obwohl ich IE nicht benutze.

Habe jetzt die ganzen empfohlenen Stufen durchgeführt, und es scheint vorläufig sicher zu sein. Einzige Datei wo ich kein Info zu fand, war
O20 - Winlogon Notify: winduj32 - C:\WINDOWS\SYSTEM32\winduj32.dll.

Hier ist mein HijackThislog:
Logfile of HijackThis v1.99.1
Scan saved at 11:14:42, on 09.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Programfiler\Fellesfiler\MicroWorld\Agent\MWASER.EXE
C:\Norman\bin\ZANDA.EXE
C:\Programfiler\Fellesfiler\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\Norman\bin\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\WINDOWS\System32\alg.exe
C:\Programfiler\QuickTime\qttask.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programfiler\iTunes\iTunesHelper.exe
C:\Norman\bin\ZLH.EXE
C:\Programfiler\iPod\bin\iPodService.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\WNSXS~1\dexplore.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\Programfiler\3Com\3Com OfficeConnect Wireless Utility\3Com Wireless 11g PC Card\Monitor.exe
C:\Programfiler\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\PROGRA~1\ESCAN\SPOOLER.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\Programfiler\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\PROGRA~1\3Com\3COMOF~1\3COMWI~1\PRISMSVR.EXE
C:\PROGRA~1\eScan\AvpM.exe
C:\PROGRA~1\eScan\kavss.exe
C:\Programfiler\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programfiler\Mozilla Firefox\firefox.exe
C:\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/countries/no/nor/gen/default.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/countries/no/nor/gen/default.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.euro.dell.com/countries/no/nor/gen/default.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = h**p://best-search.cc/index.php?v=6&aff=5132479
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger
R3 - URLSearchHook: (no name) - {3F13675F-A6B0-F963-C80E-D998B01AF0C8} - C:\WINDOWS\System32\utre.dll (file missing)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programfiler\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programfiler\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Pbca] "C:\PROGRA~1\WNSXS~1\dexplore.exe" -vt mt
O4 - Global Startup: 3Com Wireless 11g PC Card.lnk = C:\Programfiler\3Com\3Com OfficeConnect Wireless Utility\3Com Wireless 11g PC Card\Monitor.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programfiler\Fellesfiler\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Hurtigstart for Adobe Reader.lnk = C:\Programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Oppslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130972959014
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1141686547345
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winduj32 - C:\WINDOWS\SYSTEM32\winduj32.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programfiler\Fellesfiler\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programfiler\Fellesfiler\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programfiler\iPod\bin\iPodService.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programfiler\Fellesfiler\MicroWorld\Agent\MWASER.EXE
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

eScan hat das letzte Mal nichts gefunden.

Bin ich jetzt mit den Sch**ß fertig?

Freundlichen Grüßen Kai

@zanj

Zitat:

Habe jetzt die ganzen empfohlenen Stufen durchgeführt, und es scheint vorläufig sicher zu sein. Einzige Datei wo ich kein Info zu fand, war
O20 - Winlogon Notify: winduj32 - C:\WINDOWS\SYSTEM32\winduj32.dll.

Das Unbekannte muss erforscht werden, z.B. bei Virustotal.
Und diese Datei kenne ich auch nicht:

Zitat:

C:\WINDOWS\System32\utre.dll

Diese Einträge würde ich jedenfalls fixen.

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = h**p://best-search.cc/index.php?v=6&aff=5132479
R3 - URLSearchHook: (no name) - {3F13675F-A6B0-F963-C80E-D998B01AF0C8} - C:\WINDOWS\System32\utre.dll (file missing)

Hier kommt der Rapport zum winduj32.dll:

This is a report processed by VirusTotal on 03/09/2006 at 13:37:36 (CET) after scanning the file "winduj32.dll" file.

Antivirus Version Update Result
AntiVir 6.34.0.53 03.09.2006 no virus found
Avast 4.6.695.0 03.08.2006 Win32:Trojano-3292
AVG 718 03.08.2006 no virus found
Avira 6.33.1.53 03.07.2006 no virus found
BitDefender 7.2 03.09.2006 no virus found
CAT-QuickHeal 8.00 03.08.2006 no virus found
ClamAV devel-20060126 03.09.2006 no virus found
DrWeb 4.33 03.09.2006 no virus found
eTrust-InoculateIT 23.71.97 03.09.2006 no virus found
eTrust-Vet 12.4.2112 03.09.2006 no virus found
Ewido 3.5 03.09.2006 no virus found
Fortinet 2.71.0.0 03.09.2006 BDoor.CVT!bdr
F-Prot 3.16c 03.09.2006 no virus found
Ikarus 0.2.59.0 03.09.2006 no virus found
Kaspersky 4.0.2.24 03.09.2006 no virus found
McAfee 4713 03.08.2006 BackDoor-CVT
NOD32v2 1.1434 03.08.2006 no virus found
Norman 5.70.10 03.08.2006 no virus found
Panda 9.0.0.4 03.08.2006 Suspicious file
Sophos 4.03.0 03.09.2006 no virus found
Symantec 8.0 03.09.2006 Download.Trojan
TheHacker 5.9.5.110 03.09.2006 no virus found
UNA 1.83 03.09.2006 no virus found
VBA32 3.10.5 03.09.2006 no virus found

Heißt das, das ich die Datei und den Eintrag mit HijackThis löschen soll?

Ich habe die Datei utre.dll nicht gefunden, scheint nicht auf meinem Rechner zu sein.

Ich bekomme Meldungen von IE, die sagen "dass die Seite mit den geltenden ActiveX-Einstellungen nicht geöffnet werden kann". Wenn ich das Fenster zumache, passiert nichts weiteres.

Ich habe auch den Ordner "s?stem" unter meine Dokumenten entdeckt, aber kann den Ordner nicht löschen.

Ich bin für die Hilfe sehr dankbar!

Kai

zanj

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = h**p://best-search.cc/index.php?v=6&aff=5132479
R3 - URLSearchHook: (no name) - {3F13675F-A6B0-F963-C80E-D998B01AF0C8} - C:\WINDOWS\System32\utre.dll (file missing)
O4 - HKCU\..\Run: [Pbca] "C:\PROGRA~1\WNSXS~1\dexplore.exe" -vt mt
O20 - Winlogon Notify: winduj32 - C:\WINDOWS\SYSTEM32\winduj32.dll

pc neustarten

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html
reinkopieren:

C:\WINDOWS\SYSTEM32\winduj32.dll

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "yes"

PC neustarten

scanne mit McAfee FreeScan (Online) + kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

Ich benutze kein internet explorer, sondern Firefox. Ist der scan immernoch möglich? Ich könnte logs von Norman Virus Control und eScan hochladen wenn das gut genug wäre?

Ich habe nach dem löschen von windju32.exe, mit HijacktThis und Killbox, beim neuen scan
O20 - Winlogon Notify: winduj32 - winduj32.dll (file missing)
gefunden.

Ich habe auch die datei
C:\WINDOWS\??stem\?ti2evxx.exe
mit HijackThis gefunden, aber gelöscht, auch mit Killbox und HijackThis.

Ich habe auch unter Eigene Dateien ein "S?stem"-Ordner, der nicht in gewöhnlichen Fenstern auftaucht. Es gibt da auch irgendeiner s?stem-Datei, die ich nicht finden kann...

Ich bekomme jetzt bei jedes rebooten den Bescheid, mein Firewall wäre abgeschaltet, aber wenn ich das Sicherheitsprogram von Windows öffne, sagt's mir das, das der Firewall eingeschaltet ist.

Die ActiveX-meldungen (sehe vorheriger beitrag) kommen auch wenn ich offline bin.

Demütigt frage ich dieses mal auch: Gibt's hoffnung für meinMaschine?

Danke noch ein mal.