Hallo, zuerst mal ich hab keine Ahnung von diesen ganzen Viren Trojaner usw.

Aber seit kurzem spielt der I-Explorer verückt, die Startseite wurde entführt und es beim beenden des I-Explorers öffnet sich immer ein neues Fenster mit Werbung.

Ich hab SpyBot laufen lassen der hat mir 3 Fehler behoben. Doch nach dem was ich hier gelesen hab glaube ich nicht, dass das wirklich alles war.

Hier ist mal das Hijack-logfile

Logfile of HijackThis v1.99.0
Scan saved at 19:53:04, on 18.07.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\asuskbservice.exe
C:\Programme\DLink\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe
C:\Programme\DLink\Bluetooth Software\BTTray.exe
C:\PROGRA~1\DLink\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\Programme\Symantec AntiVirus\SavRoam.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Symantec AntiVirus\vptray.exe
C:\Programme\Symantec AntiVirus\vpc32.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Downloads\HijackThis.exe
C:\WINDOWS\winhlp32.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {311B487D-B909-4A52-A7C8-7A7AB39B2EF1} - C:\WINDOWS\System32\docpro.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {55A7DCA6-ABE7-4298-86D2-CAD5252ACF3E} - c:\windows\system32\bczmowwg.dll
O2 - BHO: (no name) - {59EB572D-3D78-444A-99FA-38175F942D2B} - c:\windows\system32\meeamee.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccApp] -
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Enterprise
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\\SmartDoctor.exe /start
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: MS_update_0704_KB74073.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\DLink\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\DLink\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\DLink\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} -
O23 - Service: ASUSKeyboardService - ASUSTeK COMPUTER INC. - C:\WINDOWS\asuskbservice.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Programme\DLink\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: IMAPI CD-Burning COM Service - Unknown - C:\WINDOWS\System32\ImapiRox.exe (file missing)
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVRoam - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

mir machen vorallem "meeamee.dll" und "bczmowwg.dll" sorgen.

Also wenn sich mal jemand das anschauen könnte, bin für jede Hilfe dankbar.
MfG

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Das ist leider ganz schlecht...dein ungepatchtes System bietet Schädlingen eine riesige Anriffsfläche. Da fehlen das SP2 und die Folgepatches, im Übrigen wird WinXPSP1 seit Okt. 2006 nicht mehr von MS supported, d.h. es gibt keine weiteren Hotfixes mehr.
Ich würde dir empfehlen das System neu aufzusetzen, eine Bereinigung ist zu unsicher. Aber werte vorher noch diese Dateien online bei Virustotal aus und poste die Ergebnisse:

C:\WINDOWS\System32\docpro.dll
c:\windows\system32\bczmowwg.dll
c:\windows\system32\meeamee.dll

Bin ich mir sehr sicher, dass das Schädlingskomponenten sind.

Zitat:

Logfile of HijackThis v1.99.0

Du verwendest eine alte Hijackthis-Version.

Neues System aufsetzen bedeutet
Format C: und Windows und alle Programme neu instalieren
oder nur das Servicepaket 2 und die Hotfixes aufspielen?


Oh Oh
Neues problem die 3 Files die Spybot gefunden und angeblich entfernt hat sind wieder aufgetaucht und nach der Beschreibung zu urteilen ist das nichts gutes

Backdoor.Win32.SdBot.gen: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-842925246-2146813267-1060284298-1003\Software\Classes\XML2

Produkt: Backdoor.Win32.SDBot.gen
Bedrohung: Malware
Beschreibung:
The file creates registry entries and changes security settings of the system.


Win32.Murlo.ff: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hflt_ipf

Win32.Murlo.ff: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\UID

Produkt: Win32.Murlo.ff
Bedrohung: Trojan
Beschreibung
The file downloads other trojans and malware onto the system. It creates a unique Internet Explorer ID and installs a browser helper object. It creates some services, of which one is hidden from Windows API (Rootkit function). If you need help with removal please contact Team Spybot S&D via forums or email.





und jetzt noch die Auswertung der .dll dateien
ach ja von bczmowwg.dll und meeamee.dll sind seltsamerweise backups vorhanden

docpro.dll

AhnLab-V3 2007.7.18.0 2007.07.18 no virus found
AntiVir 7.4.0.44 2007.07.18 ADSPY/Delf.R.1
Authentium 4.93.8 2007.07.18 no virus found
Avast 4.7.997.0 2007.07.18 no virus found
AVG 7.5.0.476 2007.07.18 BHO.A
BitDefender 7.2 2007.07.18 Trojan.Delf.NFS
CAT-QuickHeal 9.00 2007.07.18 AdWare.Delf.r (Not a Virus)
ClamAV devel-20070416 2007.07.18 no virus found
DrWeb 4.33 2007.07.18 no virus found
eSafe 7.0.15.0 2007.07.17 no virus found
eTrust-Vet 30.8.3791 2007.07.18 no virus found
Ewido 4.0 2007.07.18 Adware.Delf
FileAdvisor 1 2007.07.18 no virus found
Fortinet 2.91.0.0 2007.07.18 no virus found
F-Prot 4.3.2.48 2007.07.17 no virus found
F-Secure 6.70.13030.0 2007.07.18 no virus found
Ikarus T3.1.1.8 2007.07.18 not-a-virus:AdWare.Win32.Delf.r
Kaspersky 4.0.2.24 2007.07.18 not-a-virus:AdWare.Win32.Delf.r
McAfee 5077 2007.07.18 no virus found
Microsoft 1.2704 2007.07.18 no virus found
NOD32v2 2405 2007.07.18 no virus found
Norman 5.80.02 2007.07.18 no virus found
Panda 9.0.0.4 2007.07.18 Suspicious file
Sophos 4.19.0 2007.07.17 no virus found
Sunbelt 2.2.907.0 2007.07.18 no virus found
Symantec 10 2007.07.18 no virus found
TheHacker 6.1.7.149 2007.07.18 no virus found
VBA32 3.12.2 2007.07.17 no virus found
VirusBuster 4.3.23:9 2007.07.18 no virus found
Webwasher-Gateway 6.0.1 2007.07.18 Ad-Spyware.Delf.R.1


bczmowwg.dll

AhnLab-V3 2007.7.18.0 2007.07.18 no virus found
AntiVir 7.4.0.44 2007.07.18 TR/Dldr.ConHook.Gen
Authentium 4.93.8 2007.07.18 no virus found
Avast 4.7.997.0 2007.07.18 no virus found
AVG 7.5.0.476 2007.07.18 no virus found
BitDefender 7.2 2007.07.18 no virus found
CAT-QuickHeal 9.00 2007.07.18 no virus found
ClamAV devel-20070416 2007.07.18 no virus found
DrWeb 4.33 2007.07.18 no virus found
eSafe 7.0.15.0 2007.07.17 no virus found
eTrust-Vet 30.8.3791 2007.07.18 no virus found
Ewido 4.0 2007.07.18 no virus found
FileAdvisor 1 2007.07.18 no virus found
Fortinet 2.91.0.0 2007.07.18 no virus found
F-Prot 4.3.2.48 2007.07.17 no virus found
F-Secure 6.70.13030.0 2007.07.18 W32/BHO.QG
Ikarus T3.1.1.8 2007.07.18 no virus found
Kaspersky 4.0.2.24 2007.07.18 no virus found
McAfee 5077 2007.07.18 no virus found
Microsoft 1.2704 2007.07.18 no virus found
NOD32v2 2405 2007.07.18 no virus found
Norman 5.80.02 2007.07.18 W32/BHO.QG
Panda 9.0.0.4 2007.07.18 Suspicious file
Sophos 4.19.0 2007.07.17 no virus found
Sunbelt 2.2.907.0 2007.07.18 no virus found
Symantec 10 2007.07.18 no virus found
TheHacker 6.1.7.149 2007.07.18 no virus found
VBA32 3.12.2 2007.07.17 no virus found
VirusBuster 4.3.23:9 2007.07.18 no virus found
Webwasher-Gateway 6.0.1 2007.07.18 Trojan.Dldr.ConHook.Gen

und zu guter letzt meeamee.dll

AhnLab-V3 2007.7.18.0 2007.07.18 no virus found
AntiVir 7.4.0.44 2007.07.18 TR/Dldr.ConHook.Gen
Authentium 4.93.8 2007.07.18 no virus found
Avast 4.7.997.0 2007.07.18 no virus found
AVG 7.5.0.476 2007.07.18 Generic5.PCL
BitDefender 7.2 2007.07.18 no virus found
CAT-QuickHeal 9.00 2007.07.18 no virus found
ClamAV devel-20070416 2007.07.18 no virus found
DrWeb 4.33 2007.07.18 Trojan.DownLoader.28160
eSafe 7.0.15.0 2007.07.17 no virus found
eTrust-Vet 30.8.3791 2007.07.18 no virus found
Ewido 4.0 2007.07.18 no virus found
FileAdvisor 1 2007.07.18 no virus found
Fortinet 2.91.0.0 2007.07.18 no virus found
F-Prot 4.3.2.48 2007.07.17 no virus found
F-Secure 6.70.13030.0 2007.07.18 W32/BHO.QG
Ikarus T3.1.1.8 2007.07.18 no virus found
Kaspersky 4.0.2.24 2007.07.18 no virus found
McAfee 5077 2007.07.18 no virus found
Microsoft 1.2704 2007.07.18 no virus found
NOD32v2 2405 2007.07.18 no virus found
Norman 5.80.02 2007.07.18 W32/BHO.QG
Panda 9.0.0.4 2007.07.18 Suspicious file
Sophos 4.19.0 2007.07.17 no virus found
Sunbelt 2.2.907.0 2007.07.18 no virus found
Symantec 10 2007.07.18 no virus found
TheHacker 6.1.7.149 2007.07.18 no virus found
VBA32 3.12.2 2007.07.17 no virus found
VirusBuster 4.3.23:9 2007.07.18 no virus found
Webwasher-Gateway 6.0.1 2007.07.18 Trojan.Dldr.ConHook.Gen


Ich glaub ich hab ein Problem

Zitat:

Backdoor.Win32.SdBot.gen

DAS ist dein Problem, denn Backdoors (Hintertüren) lassen sich nicht ohne weiteres entfernen.

D.h. das System muss neu aufgesetzt werden, format c:, Windows neu rauf etc.
=> http://www.trojaner-board.de/12154-a...sicherung.html

Oder aber auch hier => Windows XP Pro Installation

Besonders wichtig ist, das SP2 OFFLINE einzuspielen, erst dann kann man einigermaßen sicher ohne ständiger Wurmangst im Hinterkopf die restlichen Hotfixex und so von MS ziehen...

Wie kann man vermeiden nach der Neuinstallation sich wieder so ein Ding einzufangen?

anscheinend nützen ja firewalls und virenscanner usw. nicht viel

okay das ist jetzt eher der Ärger und die Verzweiflung darüber also nicht wirklich ernst nehmen

Zitat:

Zitat von Chlodwig I.

Wie kann man vermeiden nach der Neuinstallation sich wieder so ein Ding einzufangen?

anscheinend nützen ja firewalls und virenscanner usw. nicht viel

okay das ist jetzt eher der Ärger und die Verzweiflung darüber also nicht wirklich ernst nehmen

Guckst du hier