Hallo zusammen,

ich habe folgendes Problem. Nach einer Neuinstallation aufgrund eines HD-crashes, werde ich gelegentlich nach direkter Adresseingabe in der Adressleiste oder nach anklicken eines Links auf unerwünschte und zufällig ausgesuchte Seiten geleitet. In der Adreßleiste steht dann z.B. auch mal

http://www.google.de/Buhl_Homepage.BuhlData?ActiveID=1196

anstelle von

http://web.buhl.de/Buhl_Homepage.BuhlData?ActiveID=1196

Habe bisher folgende Programme laufen lassen, jedoch nichts auffälliges gefunden.
- GDATA Antivirus
- Spybot
- Adaware
- CCleaner
- Counterspy

Deshalb hier mein HJ-Logfile mit der Bitte um Prüfung - Vielen Dank für die Hilfe!

---------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 21:32:47, on 10.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\CTHELPER.EXE
C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\*****\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1160248249750
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo.

Dein Logfile sieht meiner Ansicht nach sauber aus, was aber nichts heißen mag.

Arbeite mal folgendes ab:

1.) überprüfe mit diesem Tool dein System -> F-Secure Blacklight
Poste im Anschluss mal den Inhalt der entstandenen Log-Datei.

2.) Prüfe dein System mit eScan nach folgender Anleitung -> eScan
BEACHTE: Genau die Anleitung lesen!!!

Gruß
Sunny

Vielen Dank für die schnelle Hilfe !

1) F- Secure hat die Suche ohne Befund beendet
(keine log-Datei verfügbar !?)
--> hidden items found: 0
--> Items queued for renaming: 0

2) eScan
Folgende Infos im "VirusLogInformation" fenster:
- Object "istbar Spyware/Adware" found in File System!
Action Taken: No Action Taken.
- Entry "HKCR\Microsoft.ActiveXPlugin" refers to invalid object
"{06DD38D3-D187-11CF-A80D-00C04FD74AD8}".
Action Taken: No Action Taken.
- Entry "HKCR\Microsoft.ActiveXPlugin.1" refers to invalid object
"{06DD38D3-D187-11CF-A80D-00C04FD74AD8}".
Action Taken: No Action Taken.

- Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\
App Management\ARPCache" refers to invalid object "KB893803v2".
Action Taken: No Action Taken.

- Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\
App Management\ARPCache" refers to invalid object "KB898461".
Action Taken: No Action Taken.

MWAV.LOG:
Die Datei ist viel zu groß ! Folgende Zusammenfassung:

Tue Oct 10 23:06:24 2006 => ***** Checking for specific ITW Viruses *****

Tue Oct 10 23:06:24 2006 => ***** Scanning complete. *****

Tue Oct 10 23:06:24 2006 => Total Objects Scanned: 163787
Tue Oct 10 23:06:24 2006 => Total Critical Objects: 1
Tue Oct 10 23:06:24 2006 => Total Disinfected Objects: 0
Tue Oct 10 23:06:24 2006 => Total Objects Renamed: 0
Tue Oct 10 23:06:24 2006 => Total Deleted Objects: 0
Tue Oct 10 23:06:24 2006 => Total Errors: 130748
Tue Oct 10 23:06:24 2006 => Time Elapsed: 00:18:50
Tue Oct 10 23:06:24 2006 => ERROR!!! Unable to get Database Info.. return 8004025d

Tue Oct 10 23:06:24 2006 => Scan Completed


3) Habe zus. SpywareDoctor laufen lassen.
Er hat einen Trojaner gefunden: Backdoor.Hackdoor
in z:\System Volume Information\_restore{*********

4) Das Problem besteht übrigens auch mit Firefox

5) GDATA Antivirus meldet regelmäßig, daß trotz manuellem signature-update
die sig-dateien nicht vollständig sind

Stefan

Update:

Im abgesichterten modus (für eScan) hatte bei nochmaligem Lauf der
SpywareDoctor den oben unter Punkt 3) genannten Trojaner nicht mehr
gefunden. Wohl aufgrund des vorherigen Abschaltens der Systemwiderherstellung ???
Beim anschließenden booten in das Normalsystem war der Trojaner wieder da!