Hallo.. bin neu hier, weiß nicht mehr, wo ich noch Rat suchen soll.
Seit vorhin geht bei mir ständig der Internetexplorer mit irgendwelchen Internetseiten auf (willkürlich).

nach einer Prüfung mit Anti Vir sagt er, folgendes:

In der Datei 'C:\WINDOWS\system32\c_1erf.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.ConHook.Gen' [TR/Dldr.ConHook.Gen] gefunden.

Nichtmal löschen ist möglich (auch nicht im abgesicherten Modus).

Die Meldung kommt IMMER, wenn ich den Internetexplorer öffne und dann halt willkürlich.


Ab dieser Meldung kommen auch andere Virusmeldungen von Antivir, wie:

In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TXRW08CK\lientnstaller15_02[1]'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Agent.40960.3' [TR/Dldr.Agent.40960.3] gefunden.


In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\tmp6.tmp.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/BHO.O.3' [TR/BHO.O.3] gefunden.
==> Also 2 unterschiedliche Viren

Diese lassen sich jedoch einfach beheben, da ich die selbst per Hand löschen kann, aber sobald der 1. Virus (c_1erf.dll') "aktiviert" wird, treten die darauffolgenden immer wieder erneut auf... also es sind wohl resultate davon.

Hier meine Log von Hijackthis:


Logfile of HijackThis v1.99.1
Scan saved at 20:43:37, on 16.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\***\Desktop\HJT1991.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.***.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.***.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.******.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.***.com/fwlink/?LinkId=69157
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {9b885ab9-6b29-4e65-ac7a-6831226faf7e} - C:\WINDOWS\system32\c_1erf.dll
O4 - HKLM\..\Run: [SDTray] C:\Programme\Spyware Doctor\SDTrayApp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [CleanUp!] C:\PROGRA~1\CleanUp!\cleanup.exe /WindowsRestart
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.***.com/kos/german/partner/de/kavwebscan_unicode.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: c_1erf - C:\WINDOWS\SYSTEM32\c_1erf.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Also laut HijackThis und anti vir scheint mit der c_1erf.dll etwas nicht zu stimmen.

Selbst bei google findet der nichts dazu

Hoffe, jemand kann helfen.

Danke, im Voraus.. =)

Mit Avenger folgenden Registry Eintrag und Datei löschen:

Registry:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\c_1erf.dll
Datei:
C:\WINDOWS\system32\c_1erf.dll

Du solltest die Systemwiederherstellung ausschalten...und anschliessend im abgesicherten Modus mit escan (Anleitung siehe Rene-gad's Signatur) einen Scan machen.

ok, hab das hinbekommen.
Aber nun hab ich ein weiteres Problem:
Und zwar, wenn ich den spyware doctor durchlaufen lasse, erkennt der immer "known bad sites"... es will dann die registrierungseinträge löschen, die diese Seiten zulassen.

Macht er auch, aber gleich nach nen Neustart, sind die 2 seiten wieder drin.

Bin einfach mal auf so ne Seite gegangen und hab den danach nochmal durchlaufen lassen und auf einmal sind alle temporären dateien, die von der seite kommen als "bad" markiert.

Nun wollte ich eigentlich nur wissen, warum nach jedem neustart die Seite immer wieder von spyware doctor gefunden wird, obwohl das behoben wurde.

Also irgendwas schreibt nach jedem neustart immer wieder in die registrierung, dass die seite zugelassen werden soll.

Registry Eintrag und die Datei mit avenger gelöscht?
escan im abgesicherten Modus gemacht?

Poste bitte nochmal ein neues HJT-Log.

Du kannst als Alternative den counterspy von sunbelt drüber laufen lassen. Gibts als 15 Tage Trial.

Ja, alles so gemacht... kann auch den internetexplorer wieder starten, ohne ne fehlermeldung und viren werden keine mehr gefunden =)

Selbst wenn ich mit spywaredoctor scanne, die bad sites bereinige (in registry) und gleich danach nochmal scanne, ohne reboot, sind die gleich wieder drin.
Also scheinbar hat sd da ne macke, oder die werden gleich wieder reingeschrieben...

Den rest mache ich noch... hab vorerst mit antivir und spywaredoctor gearbeitet... sieht vorerst gut aus.

//edit: escan findet ne menge Einträge in der Registrierung... ich lass es mal durchlaufen.. muss es unbedingt im abgesicherten Modus laufen?

Hier die log: sieht auch suaber aus

Logfile of HijackThis v1.99.1
Scan saved at 22:09:30, on 16.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Alexander\Desktop\HJ991.exe

O4 - HKLM\..\Run: [SDTray] C:\Programme\Spyware Doctor\SDTrayApp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

kann irgendwie nicht mehr editieren.. also habe alles durchlaufen lassen und wurde alles beseitigt.

Habe die beiden "bad sites" per hand aus der registrierung genommen und es scheint so zu bleiben...

Ist das system nun trotzdem verpfuscht, oder brauch ich mir da keine weiteren gedanken zu machen?

stell doch bitte mal ein komplettes HJT-log rein...

das oben ist doch nicht komplett oder was hast du alles gefixt?

doch... ist komplett =)