Hallo,
letzte Woche hatte ich nach dem öffnen eines PopUps plötzlich folgendes Problem: Der Desktop war knallrot und alle Links die ich in Google öffnen wollte, wurden zu verschiedenen anderen Seiten umgeleitet. Ich habe dann dieses Formum gefunden und nach den Anleitungen versucht, die Trojaner zu identifizieren und zu beseitigen. Alle Fehlfunktionen sind auch behoben, aber ich bin mir trotzdem nicht sicher, ob alles wieder ok ist...

Spyware, Adaware und die Firewall hatte ich zu diesem Zeitpunkt noch nicht drauf, dies habe ich (leider) erst hinterher installiert.

Folgendes wurde gefunden:
Spy.Banbra.df199
Dldr.Small.buy
Dldr.DNSchan.R.5
Puper.BX
Click.526
Trojaner Download Ruin



Logfile of HijackThis v1.99.1
Scan saved at 06:14:49, on 25.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Webroot\Spy Sweeper\SSU.EXE
C:\DOKUME~1\XXX\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hXXp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hXXp://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hXXp://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hXXp://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe"
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: MagicTune 3.5.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hXXp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1153478951296
O17 - HKLM\System\CCS\Services\Tcpip\..\{0BFA8FC7-3C84-4312-A16A-E7BE9AA08B33}: NameServer = 85.255.113.197,85.255.112.128
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F3B52FD-6C17-40B8-A509-24D2D27C1770}: NameServer = 85.255.113.197,85.255.112.128
O17 - HKLM\System\CCS\Services\Tcpip\..\{877BDD47-5610-4A88-89B4-D159DB89E0F2}: NameServer = 85.255.113.197,85.255.112.128
O17 - HKLM\System\CCS\Services\Tcpip\..\{A631AE5F-A9B5-443E-B38C-81089AC5D8EB}: NameServer = 85.255.113.197,85.255.112.128
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.197 85.255.112.128
O17 - HKLM\System\CS1\Services\Tcpip\..\{0BFA8FC7-3C84-4312-A16A-E7BE9AA08B33}: NameServer = 85.255.113.197,85.255.112.128
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.197 85.255.112.128
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe

Habe ich nun alles beseitigt oder nicht???

Vielen Dank für eure Hilfe
kennedy

Guten Morgen,

muss Dir leider sagen, das du nicht alles von Deinem PC entfernt hast und dies wohl auch nur durch eine Neuinstalation schaffen wirst.

Du hast eine Umleitung über die Ukraine drin.

Relevant in Deinem Fall:

O17 - HKLM\System\CCS\Services\Tcpip\..\{0BFA8FC7-3C84-4312-A16A-E7BE9AA08B33}: NameServer = 85.255.113.197,85.255.112.128
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F3B52FD-6C17-40B8-A509-24D2D27C1770}: NameServer = 85.255.113.197,85.255.112.128
O17 - HKLM\System\CCS\Services\Tcpip\..\{877BDD47-5610-4A88-89B4-D159DB89E0F2}: NameServer = 85.255.113.197,85.255.112.128
O17 - HKLM\System\CCS\Services\Tcpip\..\{A631AE5F-A9B5-443E-B38C-81089AC5D8EB}: NameServer = 85.255.113.197,85.255.112.128
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.197 85.255.112.128
O17 - HKLM\System\CS1\Services\Tcpip\..\{0BFA8FC7-3C84-4312-A16A-E7BE9AA08B33}: NameServer = 85.255.113.197,85.255.112.128
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.197 85.255.112.128

Sowas ist ganz schwer wieder los zu bekommen und zu 99 % mit einer Neuaufsetzung verbunden. So würde dann auch mein Tip heißen. Aber da ich auch noch am Lernen bin, vieleicht hat ja jemand nen besseren Vorschlag!


Gruß Mellosun

Eine Umleitung? Heißt das, dass ich demnächst mit einer saftigen Rechnung für das Surfen rechnen muss, oder durchsuchen die "nur" meine Daten?

Danke

Kennedy