Liebe Leute,
leider kann ich meiner Tochter leider nicht abgewöhnen, mit dem IE zu surfen (ok., nicht alle plugins laufen auf Opera ohne Probleme). Seit einiger Zeit hat sie sich finding.de eingefangen, es öffnet sich als zusätzliches Fenster beim googlen. Ad-Aware konnt's nicht richten, deshalb bitte ich hier im Forum um eure fachliche Hilfe. Ich danke schon mal für eure Mühe, unten folgt das hijackthis-log. Gruß thomp

Logfile of HijackThis v1.99.1
Scan saved at 15:28:33, on 29.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DT\Sinus 1054 data\Wifiusb.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\****\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.t-online.de/
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {521A074B-D918-4fa6-BB56-A3C1D044C91F} - C:\Programme\systemAD\systemAD.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Sinus 1054 data WLAN Manager.lnk = C:\Programme\DT\Sinus 1054 data\Wifiusb.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1173513378109
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

Hallo und im Trojaner Board!


Fixe mit HijackThis folgende Zeile im Logfile:

Zitat:

O2 - BHO: (no name) - {521A074B-D918-4fa6-BB56-A3C1D044C91F} - C:\Programme\systemAD\systemAD.dll

Suche unter: Start -> Systemsteuerung -> Software alle Programme die mit SystemAD oder ähnlichem beginnen und deinstalliere sie!
(sofern vorhanden!)

Lösche danach diesen Ordner: C:\Programme\systemAD und lösche ihn manuell.

Scanne nun zusätzlich dein System nochmal mit eScan:

Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)
Und zusätzlich nochmal ein neues Hijacklog!

Gruß
Sunny

Hallo Sunny,
danke erstmal für die schnelle Antwort, werd mich dran machen, deine Arbeitsschritte durchzugehen .

Zitat:

Zitat von thomp

Liebe Leute,
leider kann ich meiner Tochter leider nicht abgewöhnen, mit dem IE zu surfen

Vielleicht hilft es den IE derart zu kastrieren, dass es Töchterchen keinen Spaß bereitet mit ihm das Web zu stürmen

Alles abgearbeitet. Dank an euch alle! Und hier das eScan-Protokoll:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.04.20.01
Installationssprache Deutsch
find.bat im normalen Modus ausgefuehrt

Microsoft Windows XP [Version 5.1.2600]
Version REG_SZ 9.1.9
Sun Apr 29 18:22:37 2007 => Virus-Datenbank Datum: 4/27/2007
Sun Apr 29 18:27:22 2007 => Virus-Datenbank Datum: 4/27/2007
Sun Apr 29 18:34:19 2007 => Virus-Datenbank Datum: 4/27/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Apr 29 18:24:09 2007 => Object "hotbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Sun Apr 29 18:24:25 2007 => Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Sun Apr 29 18:24:25 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\unzip32.dll)! Action taken: Einträge entfernt.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sun Apr 29 18:24:25 2007 => Offending file found: C:\WINDOWS\system32\unzip32.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Sun Apr 29 18:24:09 2007 => Offending Folder found: C:\Programme\hotbar
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Sun Apr 29 18:23:51 2007 => Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
Sun Apr 29 18:27:21 2007 => C:\DOKUME~1\***\LOKALE~1\TEMPOR~1\Content.IE5\WT23ODYV\hijackthis[1].zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath REG_EXPAND_SZ %SystemRoot%\System32\drivers\etc
C:\WINDOWS\system32\drivers\etc\hosts:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Apr 29 18:27:22 2007 => Gescannte Dateien: 26143
Sun Apr 29 18:27:22 2007 => Gefundene Viren: 2
Sun Apr 29 18:27:22 2007 => Anzahl der desinfizierten Dateien: 0
Sun Apr 29 18:27:22 2007 => Umbenannte Dateien: 0
Sun Apr 29 18:27:22 2007 => Anzahl der gelöschten Dateien: 25
Sun Apr 29 18:27:22 2007 => Anzahl Fehler: 24
Sun Apr 29 18:27:22 2007 => Dauer des Scans bisher: 00:03:46
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Apr 29 18:23:36 2007 => Specherüberprüfung: Aktiviert
Sun Apr 29 18:23:36 2007 => Registry Überprüfung: Aktiviert
Sun Apr 29 18:23:36 2007 => System-Ordner Überprüfung: Aktiviert
Sun Apr 29 18:23:36 2007 => Überprüfung der Systembereiche: Deaktiviert
Sun Apr 29 18:23:36 2007 => Überprüfung der Dienste: Aktiviert