Hallo Leute,
habe mir einen Virus oder dergleichen eingefangen. Bin schon das ganze Wochenende dran gewesen und kriege es nicht weg. Leider sind meine PC Kenntnisse auch nicht so gut, aber vielleicht könnt ihr mir helfen.
Nun zu meinem Problem: Wenn ich den IE öffne, dann kommt als Startseite nicht google.de sondern "awebsecurity.com" und unten Rechts in der Leiste blinkt ein gelbes Warndreieck.
Hier meine Logfile:
und ein Dankeschön schon mal im Voraus.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:03:37, on 30.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Video ActiveX Access\imsmain.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Video ActiveX Access\imsmn.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\RegFreeze\regfreeze.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Antonio\Eigene Dateien\Hausaufgaben\Griechenland\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5CBE2611-C31B-401F-89BC-4CBB25E853D7} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {D61D7E1A-6613-49CA-B6F9-51DB248E209D} - C:\Programme\Video ActiveX Access\iesplg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: (no name) - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [sdkde.exe] C:\WINDOWS\system32\sdkde.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SeekmoToolbar] C:\Programme\SeekmoToolbar\Bin\4.8.4.0\${HOOKOE_FILE}
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /dropdisc
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKLM\..\Policies\Explorer\Run: [rare] C:\Programme\Video ActiveX Access\imsmain.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RegFreeze.lnk = C:\Programme\RegFreeze\regfreeze.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.billingnow.com
O15 - Trusted Zone: http://*.reliablestats.com
O15 - Trusted Zone: http://*.winantivirus.com
O15 - Trusted Zone: http://*.winantiviruspro.com
O15 - Trusted Zone: *.winfixer.com
O15 - Trusted Zone: http://*.winfixer.com
O15 - Trusted Zone: http://*.winnanny.com
O15 - Trusted Zone: http://*.winsoftware.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://locator1.cdn.imagesrvr.com/sites/winfixer.com/www/pages/scanner_de/WinFixer2005ScannerInstallDE.cab
O22 - SharedTaskScheduler: convalescently - {cea2e5cd-e849-427b-80f0-59298caef1c4} - C:\WINDOWS\system32\cqsfk.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Service\Software Jukebox v2.0 Service File.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9861 bytes
eck "Security Alert:NetWorm-i.Virus@fp".

Hallo,

nach deiner Beschreibung kann man schon mit ziemlicher Sicherheit sagen, dass bei dir der Zlob werkelt. Hast du dir vor einiger Zeit einen Codec runtergeladen und installiert?
Ich vermute aber noch schlimmere Sachen deshalb kümmern wir uns erst um diese Dateien:

C:\WINDOWS\system32\sdkde.exe
C:\WINDOWS\system32\cqsfk.dll

Werte diese online bei Virustotal aus und poste die Ergebnisse inkl. Angaben zu Dateigröße und Prüfsummen.

Besorg dir bitte auch Blacklight, prüf das System damit und poste das Logfile.

Hallo,
Hier kannst du dein Log auswerten lassen ...

(Bevor du etw. fixst, erst eine "Erfahrene Person" fragen ob das O.k ist!)

Hier ein Removaltool für "Zlob" von Gdata HIER

Zitat:

Zitat von daalex

Hier ein Removaltool für "Zlob" von Gdata HIER

Bitte erst abwarten was die anderen Dateien für Schädlinge sind. Danach kann man sich immer noch um den Zlob kümmern.

Hallo Cosinus
Danke für deine schnelle Antwort.
Leider findet Virustotal die beiden Dateien nicht.
System mit Blacklight überprüft ist okay und hier das Logfile:
07/30/07 16:48:38 [Info]: BlackLight Engine 1.0.64 initialized
07/30/07 16:48:38 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/30/07 16:48:38 [Note]: 7019 4
07/30/07 16:48:38 [Note]: 7005 0
07/30/07 16:48:44 [Note]: 7006 0
07/30/07 16:48:45 [Note]: 7011 2272
07/30/07 16:48:45 [Note]: 7026 0
07/30/07 16:48:45 [Note]: 7026 0
07/30/07 16:48:51 [Note]: FSRAW library version 1.7.1022
07/30/07 17:08:04 [Note]: 2000 1012
07/30/07 17:08:04 [Note]: 2000 1012
07/30/07 17:08:04 [Note]: 2000 1012
07/30/07 17:08:04 [Note]: 2000 1012
07/30/07 17:08:04 [Note]: 2000 1012
07/30/07 17:08:04 [Note]: 2000 1012
07/30/07 17:08:04 [Note]: 2000 1012
07/30/07 17:08:05 [Note]: 2000 1012
07/30/07 17:08:05 [Note]: 2000 1012
07/30/07 17:08:05 [Note]: 2000 1012
07/30/07 17:09:23 [Note]: 7007 0

Mein Log habe ich ausgewertet mit HijackThis,
Frage wer kann helfen beim fixen bevor ich was falsches mache.

Meib

Zitat:

Leider findet Virustotal die beiden Dateien nicht.

Was passiert wenn du den Pfad manuell eintippst oder hineinkopierst?
Lässt du dir alle Dateien anzeigen?

Eine Datei konnte ich finden, unter versteckte Dateien die andere aber nicht.
sdkde.exe gefunden, cqsfk.dll nicht!
File size: 25536 bytes
MD5: 31f5d8619b31ab16bf1a1ccf5093076c
SHA1: 6eae9be35eb6928633d61d4a79501b7487fc8f2f

Gruß,
Toni

Wurde keine malware gefunden? Kein Virenscanner bei Virustotal angesprungen?

Probier mal folgendes bei der anderen Datei:

1. Besorg dir killbox (link siehe Signatur) und starte es.
2. Kopier den Pfad zur Schädlingsdatei also C:\WINDOWS\system32\cqsfk.dll in das Adressfeld.
3. Markier die Option "Delete on reboot".
4. Drück auf das rote Schild mit dem weißen X.
5. Die aufpoppende Frage mit ja beantworten, das System sollte neu starten.
6. Die auszuwertende Datei sollte sich nun in C:\!killbox befinden.
7. Werte die Datei C:\!killbox\cqsfk.dll aus und poste die Ergebnisse.

Hier die Ergebnisse der Killbox,

Pocket Killbox version 2.0.0.881
Running on Windows XP as xxxxxxxx(Administrator)
was started @ Montag, Juli 30, 2007, 11:46 PM

# 1 [Delete on Reboot]
Path = C:\WINDOWS\system32\cqsfk.dll


PendingFileRenameOperations Registry Data has been Removed by External Process! @ 11:49:47 PM
# 2 [Delete on Reboot]
Path = C:\WINDOWS\system32\cqsfk.dll


PendingFileRenameOperations Registry Data has been Removed by External Process! @ 11:50:45 PM
Killbox Closed(Exit) @ 11:50:55 PM
Gruß
Toni

Fein!

Den letzten Punkt auch noch bitte!

Zitat:

Zitat von cosinus

7. Werte die Datei C:\!killbox\cqsfk.dll aus und poste die Ergebnisse.

bei Virustotal meine ich natürlich, Ergebnisse posten.

Ergebnisse bei VirusTotal
nichts gefunden
File size: 1313 bytes
MD5: 2d43567c1c5d04ead5c3818ff8890e03
SHA1: cc59f0480a9a147ee49ad45cda9683bc763dec04

manuel den Pfad eingetipptC:\WINDOWS\system32\cqsfk.dll) war das, das Ergebniss.

0 bytes size received / Se ha recibido un archivo vacio

Mfg
Toni

Zitat:

manuel den Pfad eingetipptC:\WINDOWS\system32\cqsfk.dll) war das, das Ergebniss.
0 bytes size received / Se ha recibido un archivo vacio

Das Ergebnis ist klar, denn mit killbox wurde sie aus dem System32 Verzeichnis entfernt. Dann kann da nichts mehr sein...
Mich wundert nur, dass von den dreißig Virenscanner oder so nichts gefunden wurde, nachdem die Datei von killbox in c:\!killbox verschoben wurde...

Und bei der anderen Datei wurde auch nichts gefunden? Das ist sehr merkwürdig, denn die Dateien sind imho nicht legitim. wenn du Pech hast handelt es sich um so neue oder manipulierte Malware die nicht erkannt wurde.

Folge mal bitte dem eScan-Link in meiner Signatur, ich hoffe dadurch lässt sich noch was anderes erahnen.

Interessant wären auch die Inhalte deiner Systemordner, nimm dazu das Tool Filelist:

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Hallo Arne
Datei vom eSkan zu groß, kann es hier nicht posten.
Gib es noch eine andere Möglichkeit?
Verzeichnis von C:\WINDOWS folgen noch.
Gruß,
Toni

Hallo Toni,

bitte beachte in der Anleitung den Punkt mit der FIND.BAT - dann sollte es hier auch passen
Wenn nicht, poste es "schubweise" .