Hallo, ich habe eine Problem.
beim öffnen des IE6 springt die Norton Scriptblockierung an mit der Meldung:
Bösartiges Script entdeckt.
Objekt: Windows Script Host Shell Object
Aktivität: Regwrite Datei: IEXPLORE.EXE

Wenn man auf "blockieren OK" drückt, schliesst sich der IE. Über FF2 kann ich ganz normal ins Internet, möchte das aber natürlich entfernen.

Zusätzlich war die Startseite auf "finding.de" umgeleitet.
Ich habeden Stinger, Avast und Hitman Pro2 drüberlaufen lassen. Dann war erstmal alles in Ordnung, ich konnte auch die Startseite wieder ändern und surfen. Nach dem 2. Neustart war das Script wieder da, die Startseite wurde aber nicht mehr umgeleitet.

Habe jetzt ein HJT und eScan Log erstellt, und bitte um Hilfe.
eScan hat ein paar "Sachen" gefunden. Unter anderen einen Spyware Strike Trojaner, den aber der Norton, Avast, etc. nicht finden.

Danke!!!!!

HJT LOG:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 11:16:42, on 31.10.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\mouse32a.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\WinZip\WZQKPICK.EXE
F:\Programme\Hardcopy\hardcopy.exe
C:\Programme\SpamPal\spampal.exe
F:\ELITE\Elitemng.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\system32\NOTEPAD.EXE
H:\Virus_Malware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://++++
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {521A074B-D918-4fa6-BB56-A3C1D044C91F} - C:\Programme\systemAD\systemAD.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [FLMBROWSEMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\mouse32a.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - Startup: hardcopy.lnk = F:\Programme\Hardcopy\hardcopy.exe
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O4 - Startup: Verknüpfung mit Elitemng.lnk = F:\ELITE\Elitemng.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B65EC3F5-782D-4D09-9E6F-2A4D9361A68B}: NameServer = 195.3.96.67,195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5675EDA-5319-420D-8281-30C2570F7EA6}: NameServer = 195.3.86.132,195.3.85.18
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WRNotifier - C:\WINNT\SYSTEM32\WRLogonNTF.dll
O23 - Service: Altiris Carbon Copy (CarbonCopy32) - Altiris - C:\WINNT\System32\ccsrvc.exe
O23 - Service: Carbon Copy Scheduler (CarbonCopyScheduler) - Altiris - C:\WINNT\System32\schdsrvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
         

Hier der Auszug aus dem eScan Log:

Tue Oct 31 12:09:57 2006 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Tue Oct 31 12:09:57 2006 => Loading Spyware Signatures from new External Database (Size: 172656).
Tue Oct 31 12:10:00 2006 => Indexed Spyware Databases Successfully Created...

Tue Oct 31 12:10:02 2006 => Offending Key found: HKLM\Software\microsoft\downloadmanager !!!
Tue Oct 31 12:10:09 2006 => Object "istbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Tue Oct 31 12:10:09 2006 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Tue Oct 31 12:10:09 2006 => Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Tue Oct 31 12:10:09 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Tue Oct 31 12:10:09 2006 => Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Tue Oct 31 12:10:09 2006 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Tue Oct 31 12:10:09 2006 => Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Tue Oct 31 12:10:10 2006 => Offending value found in HKLM\Software\Licenses: {k7c0db872a3f777c0} !!!
Tue Oct 31 12:10:10 2006 => Object "spywarestrike Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

C:\Programme\systemAD\systemAD.dll

Werte diese Datei bei Virustotal aus und poste das Ergebnis. Ich vermute hier "harmlose" Adware...

Danke!!!
Komme heut nicht an den Computer, werde ich aber morgen gleich tun.
Was ist mit diesem Spywarestrike Trojaner, den eScan findet, sonst aber kein Tool?

Danke und Gruss

Ob der Eintrag wirklich von Spyware Strike ist, weiß ich nicht. Um das zu entfernen müsstest Du auch in der Registry rumfummeln und die Einträge manuell löschen.