Hallo Leute, wenn ich den Internetexplorer öffne, dann werde ich permanent auf irgend´welche Seiten weitergeleitet, wo ich die dort zum Download stehenden Virenscanner runterladen soll, sofern es denn welche sind.
Nun ja, hier der Log. Danke im Voraus! Wäre gut, wenn man das Problem ohne Neuaufsetzen des Rechners lösen könnte.
Logfile of HijackThis v1.99.1
Scan saved at 09:34:57, on 03.02.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\isnotify.exe
C:\WINDOWS\System32\issearch.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\pctspk.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\NASDAK\OmniMaus Software\2.1\MOUSE32A.EXE
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\SMANTE~1\logonui.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Dokumente und Einstellungen\Ich\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {D7CC709B-C957-96DC-2E00-CD896D2F329D} - C:\WINDOWS\System32\mcfbk.dll (file missing)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - {F2291B2F-F0B0-AA6B-C24B-F9BADE414494} - C:\WINDOWS\System32\khd.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Programme\VSAdd-in\VSAdd-in.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\NASDAK\OmniMaus Software\2.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\System32\drvgaz.dll,startup
O4 - HKLM\..\Run: [IpWins] C:\Programme\ipwins\ipwins.exe
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\thulnbdn.dll",setvm
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Rdeo] "C:\PROGRA~1\SMANTE~1\logonui.exe" -vt yazb
O4 - HKCU\..\Run: [Pfepkpgs] C:\Dokumente und Einstellungen\Ich\Eigene Dateien\?icrosoft.NET\?ervices.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {00000000-0000-0000-0000-100005000004} - h**p://code.trasferimento.biz/l/4dc427c36f1440a6f8cac1acdb635003_35.exe
O16 - DPF: {2D2BEE6E-3C9A-4D58-B9EC-458EDB28D0F6} - h**p://cdn.drivecleaner.com/installdrivecleanerstart_de.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - h**p://p1x.de/jinstall-1_4_2-windows-i586.cab
O23 - Service: hpdj - Unknown owner - C:\DOKUME~1\Ich\LOKALE~1\Temp\hpdj.exe (file missing)

Was für Virenscanner-Seiten sind das denn?

zum Hijack lock:

ok... ich denke mal, dass
C:\WINDOWS\Explorer.EXE
ein Wurm (W32/Combra-B) ist,

O4 - HKLM\..\Run: [IpWins] C:\Programme\ipwins\ipwins.exe ist ein oder eine Adaware( was auch immer das ist^^) und

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE... Da bin ich mir gar nicht sicher, aber es könnte ein Wurm oder ein Trojaner sein...

LG hdrfan

Warte aber lieber noch bis jemand mit mehr Ahnung drüber geschaut hat....

meine Spekulationen habe ich aus den Informationen von

www.castlecops.com/StartupList.html geschlosen

Hi,
leider denke ich nicht ganz so wie hdrfan.

Der explorer und der messenger dürften virenfrei sein. Sicherheitshalber kann man so sachen aber immer bei virustotal hochladen und überprüfen lassen.


Ansonsten befindet sich schon einiges auf deinem Rechner.

Zitat:

R3 - URLSearchHook: (no name) - {D7CC709B-C957-96DC-2E00-CD896D2F329D} - C:\WINDOWS\System32\mcfbk.dll (file missing)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - {F2291B2F-F0B0-AA6B-C24B-F9BADE414494} - C:\WINDOWS\System32\khd.dll
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Programme\VSAdd-in\VSAdd-in.dll

Sind Spuren von Vundo, NetOptimizer und am dritten arbeite ich noch.

Lass doch bitte mal die

Zitat:

C:\WINDOWS\System32\khd.dll
C:\WINDOWS\System32\mcfbk.dll

Bei Virustotal auswerten.

Schlimmer als diese Adware dürfte allerdings diese Einträge für dich sein:

Zitat:

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
04 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\System32\drvgaz.dll,startup
O4 - HKLM\..\Run: [IpWins] C:\Programme\ipwins\ipwins.exe
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\thulnbdn.dll",setvm
O4 - HKCU\..\Run: [Rdeo] "C:\PROGRA~1\SMANTE~1\logonui.exe" -vt yazb
O4 - HKCU\..\Run: [Pfepkpgs] C:\Dokumente und Einstellungen\Ich\Eigene Dateien\?icrosoft.NET\?ervices.exe
O23 - Service: hpdj - Unknown owner - C:\DOKUME~1\Ich\LOKALE~1\Temp\hpdj.exe (file missing)

Kennst du eine dieser Anwendungen? zb die IpWins-Sache oder das PCTVoice?
Ansonsten alle unbekannten Dateien bitte ebenfalls bei Virustotal hochladen und die Auswertungen hier immer mit Größe und zusätzlichen Infos posten.
Danke.

Beantworte bitte auch hdrfans Fragen zu den Webseiten und so.
lg myrtille

oh... *räusper*

Ich bin da nicht der Spezialist auf dem Hijack Gebiet...

LG hdrfan

Erstmal danke ihr Beiden!

Das Virenprogramm, dass sich immer im Popup öffnet ,heißt irgendwie WinAntiVirusPro2006 oder so und eine der Seiten heißt h**p://www.eupdatepage.com und
h**p://de.errorsafe.com/pages/scanner/index.php?aid=nm_sh_spt_kw7_de_de_lng_ed1&lid=virus&ex=1&p=&ax=1&h=

STATUS: FINISHEDComplete scanning result of "khd.dll", received in VirusTotal at 02.03.2007, 13:58:28 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.34 02.03.2007 ADSPY/PurityScan.AK.162
Authentium 4.93.8 02.03.2007 no virus found
Avast 4.7.936.0 02.01.2007 Win32:Agent-RY
AVG 386 02.03.2007 Adware Generic.TKR
BitDefender 7.2 02.03.2007 no virus found
CAT-QuickHeal 9.00 02.03.2007 no virus found
ClamAV devel-20060426 02.03.2007 no virus found
DrWeb 4.33 02.03.2007 no virus found
eSafe 7.0.14.0 02.02.2007 Spyware.Purityscan
eTrust-InoculateIT 30.4.3364 02.02.2007 no virus found
eTrust-Vet 30.3.3366 02.03.2007 no virus found
Ewido 4.0 02.03.2007 Adware.PurityScan
Fortinet 2.85.0.0 02.03.2007 Adware/Purityscan
F-Prot 4.2.1.29 02.02.2007 no virus found
Ikarus T3.1.0.31 02.03.2007 not-a-virus:AdWare.Win32.PurityScan.ak
Kaspersky 4.0.2.24 02.03.2007 not-a-virus:AdWare.Win32.PurityScan.ak
McAfee 4955 02.02.2007 no virus found
Microsoft 1.2101 02.03.2007 no virus found
NOD32v2 2033 02.03.2007 a variant of Win32/Adware.PurityScan
Norman 5.80.02 02.02.2007 W32/PurityScan.dam
Panda 9.0.0.4 02.03.2007 no virus found
Prevx1 V2 02.03.2007 Malicious
Sophos 4.13.0 02.02.2007 ClickSpring
Sunbelt 2.2.907.0 02.02.2007 VIPRE.Suspicious
Symantec 10 02.03.2007 Adware.Purityscan
TheHacker 6.0.3.162 02.02.2007 Adware/PurityScan.ak
UNA 1.83 02.01.2007 no virus found
VBA32 3.11.2 02.03.2007 AdWare.Win32.PurityScan.ak
VirusBuster 4.3.19:9 02.02.2007 no virus found


Aditional Information
File size: 60416 bytes
MD5: 6bb0786e867afcdf325dc20a3652f576
SHA1: 8ac2035875e2d9ff8681fd8cccc714fdbb8a0bcf
packers: PECompact
packers: PECOMPACT
packers: PecBundle, PECompact
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=b0fb73006469
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

C:\WINDOWS\System32\mcfbk.dll hat keinen Virusfound und filesize=0 somit scheint sie gar nicht dazusein.

pctspk.exe hab ich nich hochgeladen weils ja irgendwie kein vollständiger Pfad ist.

:\WINDOWS\System32\drvgaz.dll auch filesize=0 und keinen Virusfound. Außerdem öffnet sich beim starten des Computers auch immer eine Meldung, dass diese Datei nicht gefunden werden könne und dann öfnnen sich noch ein paar DOS-fenster.

C:\Programme\ipwins\ipwins.exe ebenfalls filesize=0 und kein Virusfound

STATUS: FINISHEDComplete scanning result of "thulnbdn.dll", received in VirusTotal at 02.03.2007, 14:21:26 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.34 02.03.2007 TR/Virtumod.DG
Authentium 4.93.8 02.03.2007 W32/Backdoor.ABVT
Avast 4.7.936.0 02.01.2007 Win32:Trojan-gen. {Other}
AVG 386 02.03.2007 Adware Generic.TKX
BitDefender 7.2 02.03.2007 Trojan.Virtumod.DG
CAT-QuickHeal 9.00 02.03.2007 TrojanDLoader.Agent.gen
ClamAV devel-20060426 02.03.2007 Trojan.Downloader-595
DrWeb 4.33 02.03.2007 Trojan.Virtumod
eSafe 7.0.14.0 02.02.2007 no virus found
eTrust-InoculateIT 30.4.3364 02.02.2007 Win32/Vundo.AB!DLL!Trojan
eTrust-Vet 30.3.3366 02.03.2007 Win32/Vundo.BU
Ewido 4.0 02.03.2007 no virus found
Fortinet 2.85.0.0 02.03.2007 suspicious
F-Prot 4.2.1.29 02.02.2007 W32/Backdoor.ABVT
Ikarus T3.1.0.31 02.03.2007 not-a-virus:AdWare.Win32.Virtumonde.gf
Kaspersky 4.0.2.24 02.03.2007 not-a-virus:AdWare.Win32.Virtumonde.gf
McAfee 4955 02.02.2007 Vundo.dll
Microsoft 1.2101 02.03.2007 no virus found
NOD32v2 2033 02.03.2007 Win32/Adware.Virtumonde.FT
Norman 5.80.02 02.02.2007 W32/DLoader.BLAX
Panda 9.0.0.4 02.03.2007 Adware/PurityScan
Prevx1 V2 02.03.2007 no virus found
Sophos 4.13.0 02.02.2007 Virtumundo
Sunbelt 2.2.907.0 02.02.2007 VIPRE.Suspicious
Symantec 10 02.03.2007 Adware.VirtuMonde
TheHacker 6.0.3.162 02.02.2007 Adware/Virtumonde.gf
UNA 1.83 02.01.2007 Adware.Virtumonde.4C0E
VBA32 3.11.2 02.03.2007 Adware.Virtumonde
VirusBuster 4.3.19:9 02.02.2007 Adware.Virtumonde.BK

Aditional Information
File size: 118804 bytes
MD5: d1a78c79763561908bdb498d1da8c155
SHA1: 5c1d4168a7cecaa9fcd48695515279268b9ce05d
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

STATUS: FINISHEDComplete scanning result of "logonui.exe", received in VirusTotal at 02.03.2007, 14:27:27 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.34 02.03.2007 TR/Dldr.PurityScan.DT
Authentium 4.93.8 02.03.2007 W32/Downloader.ANJT
Avast 4.7.936.0 02.01.2007 Win32:Trojan-gen. {UPX!}
AVG 386 02.03.2007 Downloader.Generic2.UET
BitDefender 7.2 02.03.2007 Trojan.Downloader.PurityScan.DT
CAT-QuickHeal 9.00 02.03.2007 no virus found
ClamAV devel-20060426 02.03.2007 Trojan.PurityScan.BJ
DrWeb 4.33 02.03.2007 Trojan.PurityAd
eSafe 7.0.14.0 02.02.2007 Win32.PurityScan.dt
eTrust-InoculateIT 30.4.3364 02.02.2007 Win32/Clspring.Variant!Trojan
eTrust-Vet 30.3.3366 02.03.2007 Win32/Clspring.GD
Ewido 4.0 02.03.2007 Downloader.PurityScan.dt
Fortinet 2.85.0.0 02.03.2007 W32/EV!tr.dldr
F-Prot 4.2.1.29 02.02.2007 W32/Downloader.ANJT
Ikarus T3.1.0.31 02.03.2007 Trojan.Win32.PurityScan.BJ
Kaspersky 4.0.2.24 02.03.2007 Trojan-Downloader.Win32.PurityScan.dt
McAfee 4955 02.02.2007 Downloader-EV
Microsoft 1.2101 02.03.2007 Yazzle.Clickspring (threat-c)
NOD32v2 2033 02.03.2007 a variant of Win32/TrojanDownloader.PurityScan
Norman 5.80.02 02.02.2007 W32/PurityScan.AFN
Panda 9.0.0.4 02.03.2007 Adware/PurityScan
Prevx1 V2 02.03.2007 Trojan.SystemPoser
Sophos 4.13.0 02.02.2007 Troj/PurScan-BT
Sunbelt 2.2.907.0 02.02.2007 ClickSpring.PuritySCAN
Symantec 10 02.03.2007 Adware.Purityscan
TheHacker 6.0.3.162 02.02.2007 no virus found
UNA 1.83 02.01.2007 TrojanDownloader.Win32.PurityScan.1224
VBA32 3.11.2 02.03.2007 Trojan-Downloader.Win32.PurityScan.dt
VirusBuster 4.3.19:9 02.02.2007 no virus found


Aditional Information
File size: 71680 bytes
MD5: 8145abc8d6cf5180c8fe81fb61df685a

C:\Dokumente und Einstellungen\Ich\Eigene Dateien\?icrosoft.NET\?ervices.exe filesize=0 und kein Virusfound

C:\DOKUME~1\Ich\LOKALE~1\Temp\hpdj.exe auch filesize=0 und kein Found

Alle die Dateien, bei denen Filesize=0 angezeigt verhindern ein Hochladen um nicht als Virus erkannt zu werden.

Benenn die dateien um zb virus1.exe virus2.exe etc und versuche nochmal sie hochzuladen. (Sag aber bitte welche Datei du wie benannt hast. )

Bei der pctspk.exe musst du selber mal suchen, wo die liegt. Das kann ich dir nicht sagen.

lg myrtille

Kann die ganzen Dateien tatsächlich gar nicht finden in den Ordnern. Die scheinen irgendwie wirklich nicht dazusein?!

Die Dateien sind mit ziemlich großer Wahrscheinlichkeit schon da.
Sie verstecken sich nur, weil sie nicht gelöscht werden wollen.
(Wie man versteckte Dateien sichtbar machen kann:hier)


Solltest du die Dateien immer noch nicht finden kannst du mal damit anfangen (aber nur dann, ich hätte eigentlich lieber die Auswertung der Dateien bei virustotal):
Lade dir ->SmitfraudFix und Vundofix, führe beide Programme aus. (bei SmitfraudFix kannst du gleich mit Punkt 2. - Bereinigung anwählen!)
Poste dann den Inhalt der Report.txt!

Damit solltest du eigentlich Vundo und den AntiVirus in den Griff kriegen.... Wegen den Purityscan muss ich mich selber auch erstmal umschauen...

Sorry dass das bei mir derzeit solange mit dem Antworten dauert... hab etwas Stress.

lg myrtille

Juhuu, es hat sich schon was getan. Ich bekomme nicht mehr ständig diese Weiterleitung zu Virenprogrammen.
Danke,danke :-)
Die Logs sind im Anhang