Google Virus im IE

Dreamliner · 11.07.2007, 10:57

Ich habe folgendes Problem: Immer wenn ich über google eine suche starte und dann auf links von dieser klicke, gehen falsche Seiten auf.
Es ist oft ebay.de aber auch häufiger suchmaschinen, von dennen ich noch nie was gehört habe. Ferner stellt sich google immer auch nach änderung wieder als startseite ein. Kaspersky findet keinen Virus mehr!

Wie kann ich das Problem beheben? (Habe jetzt Netscape installiert und habe dort keine Probleme!)

Hierist das Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 11:41:51, on 11.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\LTSMMSG.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Deutsche Telekom\SurfUSB\DiTask.exe
C:\Programme\Deutsche Telekom\SurfUSB\Divamon.exe
C:\Programme\Deutsche Telekom\SurfUSB\watch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\Plaxo\2.1.0.80\InstallStub.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Netscape\Navigator 9\navigator.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\hgsell\LOKALE~1\Temp\Rar$EX00.668\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.karstadt.de:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {64E84817-9DD2-468B-BB96-924FBE3F8B9F} - C:\WINDOWS\System32\cmpbk3.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\en-gb\msntb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\en-gb\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [DiTask.exe] "C:\Programme\Deutsche Telekom\SurfUSB\DiTask.exe"
O4 - HKLM\..\Run: [Divamon.exe] "C:\Programme\Deutsche Telekom\SurfUSB\Divamon.exe"
O4 - HKLM\..\Run: [Eicon TechnologyLAN_DAEMON] C:\Programme\Deutsche Telekom\SurfUSB\watch.exe
O4 - HKLM\..\Run: [CGServer] "C:\Programme\Deutsche Telekom\SurfUSB\cgserver.exe"
O4 - HKLM\..\Run: [avserve.exe] C:\WINDOWS\avserve.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [PlaxoUpdate] C:\WINDOWS\Plaxo\2.1.0.80\InstallStub.exe -a
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SPIEGEL-ONLINE-Alert] C:\Dokumente und Einstellungen\hgsell\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OVX7MEZP\spiegel-Alarm[1].exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Startup: SPIEGEL-ONLINE-Alert.lnk = C:\Dokumente und Einstellungen\hgsell\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OVX7MEZP\spiegel-Alarm[1].exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Update_0707_KB77012.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184096869749
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O21 - SSODL: msvcrt64.dll - {AA2EAA12-67A7-4687-A018-DF7EF8F6117D} - msvcrt64.dll (file missing)
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe

mmk · 11.07.2007, 11:18

Hallo und willkommen an Board!

Zitat:

Zitat von Dreamliner

Kaspersky findet keinen Virus mehr!

Das heißt, Kaspersky hat zuvor Schädlinge gefunden. Wo und welche genau laut Meldungen?

Zitat:

Wie kann ich das Problem beheben? (Habe jetzt Netscape installiert und habe dort keine Probleme!)

Netscape wird zu zögerlich mit Updates versorgt. Wenn, dann nimm besser Seamonkey, Firefox oder Opera.

Code:

ATTFilter

O2 - BHO: (no name) - {64E84817-9DD2-468B-BB96-924FBE3F8B9F} - C:\WINDOWS\System32\cmpbk3.dll

Prüf bitte die in Fettschrift markierte Datei bei Virustotal:
VirusTotal - Free Online Virus and Malware Scan
Poste hier dann die komplette Ergebnisliste.

Code:

ATTFilter

O4 - HKLM\..\Run: [avserve.exe] C:\WINDOWS\avserve.exe

Dein System hat aber schon öfters Begegnungen mit Malware gehabt - vor einigen Jahren z.B. mit dem Netzwerkwurm Sasser. Ich rate Dir dringend zu mehr Vorsicht und Konzept, nicht zuletzt deswegen, weil mit Malware gekaperte PCs sehr häufig zu kriminellen Zwecken Dritter missbraucht werden!

Code:

ATTFilter

O4 - Global Startup: Update_0707_KB77012.exe

Bitte diese Datei ebenfalls prüfen!

Code:

ATTFilter

O21 - SSODL: msvcrt64.dll - {AA2EAA12-67A7-4687-A018-DF7EF8F6117D} - msvcrt64.dll (file missing)

Der nächste Eintrag eines Schädlings ...

Dreamliner · 11.07.2007, 12:19

Hier die Antworten auf die Fragen:

[Das heißt, Kaspersky hat zuvor Schädlinge gefunden. Wo und welche genau laut Meldungen?]
Kaspersky hat aufgehäult als der Angriff kam und folgendes angezeigt. Danach hatte ich das Google Problem

10.07.2007 14:18:36 Datei C:\DOKUME~1\******\LOKALE~1\Temp\ozgqxmif.sys, gefunden: trojanisches Programm 'Rootkit.Win32.Podnuha.a'. Benutzer: ******\******, Computer: localhost.
10.07.2007 14:18:36 Es wurden schädliche Objekte gefunden. Die sofortige Desinfektion wird empfohlen.
10.07.2007 14:18:41 Prozess C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temp\gblba.exe, gefunden: potentiell gefährliche Software 'Invader' (Modifikation).
10.07.2007 14:18:48 Das Öffnen des schädlichen HTTP-Objekts <http://85.255.115.221/e477.gif>: gefunden: trojanisches Programm 'Trojan-Downloader.Win32.Agent.brk'.
10.07.2007 14:18:48 Das Öffnen des schädlichen HTTP-Objekts <http://85.255.115.221/e477.gif>: Zugriff blockiert.
10.07.2007 14:18:50 Datei C:\WINDOWS\System32\Drivers\cacmikth.sys, gefunden: trojanisches Programm 'Trojan.Win32.Delf.zj'. Benutzer: ******\******, Computer: localhost.
10.07.2007 14:19:00 Datei C:\WINDOWS\System32\Drivers\cacmikth.sys wurde gelöscht.
10.07.2007 14:19:00 Datei C:\DOKUME~1\******\LOKALE~1\Temp\ozgqxmif.sys wurde gelöscht.
10.07.2007 14:19:29 Prozess C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temp\gblba.exe (PID 1384) wurde erfolgreich abgeschlossen.
10.07.2007 14:20:13 Rollback wurde nicht ausgeführt.
10.07.2007 14:20:13 Prozess C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temp\scwxh.exe, gefunden: potentiell gefährliche Software 'Trojan.generic' (Modifikation).
10.07.2007 14:20:43 Prozess C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temp\scwxh.exe (PID 3700) wurde nicht abgeschlossen.
10.07.2007 14:20:43 Prozess C:\WINDOWS\system32\iv985.exe (PID 3024) wurde erfolgreich abgeschlossen.
10.07.2007 14:20:50 Fehler beim Verschieben von C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temp\scwxh.exe in die Quarantäne (Objekt nicht gefunden oder Updatequelle nicht verfügbar)
10.07.2007 14:21:00 Rollback wurde nicht ausgeführt.
10.07.2007 14:21:00 Prozess C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temp\scwxh.exe, gefunden: potentiell gefährliche Software 'Trojan.generic' (Modifikation).
10.07.2007 14:24:50 Es wird empfohlen, den Computer vollständig auf Viren zu untersuchen.
10.07.2007 14:24:50 Schutz des Computers ist aktiv.
10.07.2007 14:26:04 Das Öffnen des schädlichen HTTP-Objekts <http://85.255.115.221/e477.gif>: gefunden: trojanisches Programm 'Trojan-Downloader.Win32.Agent.brk'.
10.07.2007 14:26:04 Das Öffnen des schädlichen HTTP-Objekts <http://85.255.115.221/e477.gif>: Zugriff blockiert.
10.07.2007 15:40:44 Das Update wurde erfolgreich abgeschlossen
10.07.2007 19:30:59 Es wird empfohlen, den Computer vollständig auf Viren zu untersuchen.
10.07.2007 19:31:01 Schutz des Computers ist aktiv.
11.07.2007 00:45:06 Datei C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PSSFDX8H\s[1].htm, gefunden: trojanisches Programm 'Trojan-Downloader.JS.Psyme.gy'. Benutzer: ******\******, Computer: localhost.
11.07.2007 00:45:06 Es wurden schädliche Objekte gefunden. Die sofortige Desinfektion wird empfohlen.
11.07.2007 00:45:19 Das Öffnen des schädlichen HTTP-Objekts <http://all-xxx-vogue.com/class/index.php//Crypt.DCScript>: gefunden: trojanisches Programm 'Trojan-Downloader.VBS.Psyme.gx'.
11.07.2007 00:45:19 Das Öffnen des schädlichen HTTP-Objekts <http://all-xxx-vogue.com/class/index.php//Crypt.DCScript>: Zugriff blockiert.
11.07.2007 00:45:42 Datei C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PSSFDX8H\s[1].htm wurde gelöscht.
11.07.2007 00:45:45 Das Öffnen des schädlichen HTTP-Objekts <http://0xcb.0xdf.0x9e.0x0c/s/>: gefunden: trojanisches Programm 'Trojan-Downloader.JS.Psyme.gy'.
11.07.2007 00:45:45 Das Öffnen des schädlichen HTTP-Objekts <http://0xcb.0xdf.0x9e.0x0c/s/>: Zugriff blockiert.

[Code: O2 - BHO: (no name) - {64E84817-9DD2-468B-BB96-924FBE3F8B9F} - C:\WINDOWS\System32\cmpbk3.dll
Prüf bitte die in Fettschrift markierte Datei bei Virustotal:
VirusTotal - Free Online Virus and Malware Scan
Poste hier dann die komplette Ergebnisliste.]

Antivirus Versión Last Update Result
AhnLab-V3 2007.7.11.1 20070711 no virus found
AntiVir 7.4.0.39 20070711 no virus found
Authentium 4.93.8 20070710 no virus found
Avast 4.7.997.0 20070711 no virus found
AVG 7.5.0.476 20070710 no virus found
BitDefender 7.2 20070711 no virus found
CAT-QuickHeal 9.00 20070710 no virus found
ClamAV devel-20070416 20070711 no virus found
DrWeb 4.33 20070711 no virus found
eSafe 7.0.15.0 20070710 no virus found
eTrust-Vet 30.8.3779 20070711 no virus found
Ewido 4.0 20070711 no virus found
FileAdvisor 1 20070711 no virus found
Fortinet 2.91.0.0 20070711 no virus found
F-Prot 4.3.2.48 20070710 no virus found
Ikarus T3.1.1.8 20070711 no virus found
Kaspersky 4.0.2.24 20070711 no virus found
McAfee 5071 20070710 no virus found
Microsoft 1.2704 20070711 no virus found
NOD32v2 2392 20070711 no virus found
Norman 5.80.02 20070710 no virus found
Panda 9.0.0.4 20070711 Suspicious file
Sophos 4.19.0 20070706 no virus found
Sunbelt 2.2.907.0 20070711 no virus found
Symantec 10 20070711 no virus found
TheHacker 6.1.6.144 20070709 no virus found
VBA32 3.12.0.2 20070710 no virus found
VirusBuster 4.3.23:9 20070710 no virus found
Webwasher-Gateway 6.0.1 20070711 Worm.Win32.UPXpacked.gen!94 (suspicious)
Aditional information
File size: 86306 bytes
MD5: 193d39d2ee26cc8fb4c4fbd1c4f2cc46
SHA1: 7a1bef1f37db9fd9eeafb8f02b1bc2c0c2fc29fe
packers: UPX
packers: UPX
packers: UPX

[Code: O4 - Global Startup: Update_0707_KB77012.exe Bitte diese Datei ebenfalls prüfen!]
Antivirus Versión Last Update Result
AhnLab-V3 2007.7.11.1 20070711 no virus found
AntiVir 7.4.0.39 20070711 HEUR/Crypted
Authentium 4.93.8 20070710 no virus found
Avast 4.7.997.0 20070711 Win32

ownloader-FY
AVG 7.5.0.476 20070710 Downloader.Small.57.A
BitDefender 7.2 20070711 no virus found
CAT-QuickHeal 9.00 20070710 Backdoor.Sdbot.gen
ClamAV devel-20070416 20070711 no virus found
DrWeb 4.33 20070711 BackDoor.Apex.65
eSafe 7.0.15.0 20070710 suspicious Trojan/Worm
eTrust-Vet 30.8.3779 20070711 Win32/Cavitate!generic
Ewido 4.0 20070711 no virus found
FileAdvisor 1 20070711 no virus found
Fortinet 2.91.0.0 20070711 no virus found
F-Prot 4.3.2.48 20070710 no virus found
Ikarus T3.1.1.8 20070711 Backdoor.Apex.65
Kaspersky 4.0.2.24 20070711 no virus found
McAfee 5071 20070710 Generic BackDoor.n
Microsoft 1.2704 20070711 no virus found
NOD32v2 2392 20070711 a variant of Win32/TrojanDropper.Small.UE
Norman 5.80.02 20070710 no virus found
Panda 9.0.0.4 20070711 Suspicious file
Sophos 4.19.0 20070706 Mal/Murlo-A
Sunbelt 2.2.907.0 20070711 VIPRE.Suspicious
Symantec 10 20070711 no virus found
TheHacker 6.1.6.144 20070709 no virus found
VBA32 3.12.0.2 20070710 BackDoor.Apex.65
VirusBuster 4.3.23:9 20070710 no virus found
Webwasher-Gateway 6.0.1 20070711 Heuristic.Crypted
Aditional information
File size: 20992 bytes
MD5: 2134d429d9973c8369c5f274e6a664a6
SHA1: f4267769733c87dc6c184b0a1d2a2386a9c4f1f2
packers: ASPack
packers: ASPACK
packers: Aspack

Was soll ich nun tun?

mmk · 11.07.2007, 12:28

Zitat:

Zitat von Dreamliner

Was soll ich nun tun?

Sende bitte die beiden geprüften Dateien als Anhang einer Mail an mich -> virus@sicher-ins-netz.info.

Als überbrückende Erstmaßnahme folgen gleich noch ein paar Hinweise.

mmk · 11.07.2007, 13:01

Wichtig: Die im Folgenden genannten Maßnahmen sind nur grober Natur und garantieren kein sauberes bzw. vertrauenswürdigs System - sie nehmen allenfalls die sichtbaren Komponenten der aktiven Malware heraus, mehr aber auch nicht. Man muss bei einem kompromittierten System wie diesem immer damit rechnen, dass noch nicht entdeckte Komponenten aktiv ihr Werk verrichten.

1.) Speichere HijackThis, am besten umbenannt zu pruefung.com, in einem separaten Ordner, z.B. unter C:\Programme\HijackThis\.
2.) Starte HijackThis, wähle dieses Mal jedoch "Do a system scan only".
3.) Schließe alle Windows Explorer und Internet Explorer Fenster.
4.) Setze sodann Häkchen (Achtung, nicht in den Zeilen verrutschen!) neben den im Folgenden genannten Einträgen:

Code:

ATTFilter

O2 - BHO: (no name) - {64E84817-9DD2-468B-BB96-924FBE3F8B9F} - C:\WINDOWS\System32\cmpbk3.dll
O4 - HKLM\..\Run: [avserve.exe] C:\WINDOWS\avserve.exe
O4 - Global Startup: Update_0707_KB77012.exe
O21 - SSODL: msvcrt64.dll - {AA2EAA12-67A7-4687-A018-DF7EF8F6117D} - msvcrt64.dll (file missing)

5.) Klick auf "Fix checked", bestätige die folgende Abfrage mit "Ja".
6.) Starte das System umgehend neu.

Dreamliner · 11.07.2007, 13:23

Great! Das Google Problem ist jedenfalls behoben!

Vielen Dank!!!!!!!!!!!!!!

mmk · 11.07.2007, 13:27

Wie gesagt, bitte das ganze Posting lesen - vor allem den "Wichtig"-Abschnitt.

Ich würde Dir empfehlen, Dich jetzt einzulesen:

Anleitung - Neuaufsetzen des Systems / anschliessende Absicherung
Anleitung - Neuaufsetzen des Systems / anschliessende Absicherung
Homepage von Malte J. Wetz

...und dann das System neu zu machen. Wichtig: Passwörter, Zugangsdaten ändern!

Google Virus im IE

Log-Analyse und Auswertung: Google Virus im IE