Liebe Forumsuser,

ich habe seit einigen Tagen das Problem, dass bei mir immer wieder die Startseite w*w.dbsarticles.com beim öffnen des IE kommt, obwohl ich diese umgeändert habe.

Ich wäre sehr dankbar, wenn mir jemand mal das hijack-logfile durchschauen könnte!

Vielen Dank im voraus
Lizzie

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:08:38, on 22.10.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Adaware\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\mdm.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINNT\system32\internat.exe
C:\WINNT\rundll32.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\CABLEC~1\SMARTB~1\MotiveSB.exe
C:\PROGRA~1\CABLEC~1\SMARTB~1\SBHookSvc.exe
C:\Programme\HiJack This\HiJackThis\HijackThis.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\WINNT\System32\WBEM\WinMgmt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dbsarticles.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft Office] C:\WINNT\system32\mdm.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CABLEC~1\SMARTB~1\DExec.exe 180000 C:\PROGRA~1\CABLEC~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Microsoft Office] C:\WINNT\system32\mdm.exe
O4 - HKCU\..\Run: [Microsoft Windows Driver] C:\WINNT\rundll32.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Microsoft Office] C:\WINNT\system32\mdm.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Microsoft Windows Driver] C:\WINNT\rundll32.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Adaware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: SBHookSvc - Motive Communications, Inc. - C:\PROGRA~1\CABLEC~1\SMARTB~1\SBHookSvc.exe

--
End of file - 4584 bytes

Dir fehlen mehrere Sicherheitsupdates sowie ein Service Pack, aus diesem Grund ist/worde dein System infiziert:




Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINNT\system32\mdm.exe
C:\WINNT\rundll32.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)



MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

lieber sunny,

vielen dank für deine rasche antwort. ich weiss leider nicht, was ein hash ist ....

lg
lizzie

Zitat:

Zitat von lizzie4711

lieber sunny,

vielen dank für deine rasche antwort. ich weiss leider nicht, was ein hash ist ....

lg
lizzie

Musst du auch nicht, kopiere einfach den Text ab wenn die Datei welche ich dir genannt habe, überprüft worden auf Virustotal.
Der Hash ist die Angabe (Funktion) bei den zu überprüfenden Dateien, dieser Wert wird nach überprüfung angezeigt.

hi sunny,

rundll32.exe hat nix, dafür aber mdm.exe:

Datei mdm.exe empfangen 2007.10.23 19:47:23 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.24.0 2007.10.23 -
AntiVir 7.6.0.27 2007.10.23 TR/StartPage.anv.4
Authentium 4.93.8 2007.10.23 -
Avast 4.7.1051.0 2007.10.22 -
AVG 7.5.0.488 2007.10.23 -
BitDefender 7.2 2007.10.23 -
CAT-QuickHeal 9.00 2007.10.23 -
ClamAV 0.91.2 2007.10.23 -
DrWeb 4.44.0.09170 2007.10.23 BackDoor.IRC.Sdbot.1631
eSafe 7.0.15.0 2007.10.22 -
eTrust-Vet 31.2.5233 2007.10.23 -
Ewido 4.0 2007.10.23 -
FileAdvisor 1 2007.10.23 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.22 -
F-Secure 6.70.13030.0 2007.10.23 Backdoor.Win32.IRCBot.als
Ikarus T3.1.1.12 2007.10.23 Backdoor.Win32.IRCBot.als
Kaspersky 7.0.0.125 2007.10.23 Backdoor.Win32.IRCBot.als
McAfee 5147 2007.10.23 -
Microsoft 1.2908 2007.10.23 -
NOD32v2 2610 2007.10.23 -
Norman 5.80.02 2007.10.23 -
Panda 9.0.0.4 2007.10.23 W32/IrcBot.BHG.worm
Prevx1 V2 2007.10.23 Heuristic: Suspicious Hijacker
Rising 19.46.12.00 2007.10.23 Backdoor.Win32.SdBot.qov
Sophos 4.22.0 2007.10.23 Mal/EncPk-BE
Sunbelt 2.2.907.0 2007.10.23 -
Symantec 10 2007.10.23 -
TheHacker 6.2.9.105 2007.10.23 -
VBA32 3.12.2.4 2007.10.22 -
VirusBuster 4.3.26:9 2007.10.23 -
Webwasher-Gateway 6.6.1 2007.10.23 Trojan.StartPage.anv.4

weitere Informationen
File size: 49668 bytes
MD5: 33693719b625ecaebaf1e1d0088a8ac3
SHA1: 40b1fac5df2efe02177fc3f3602f73708227386d
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=D9E12A300464200CC2BE0073E5B9CB003EE48B24

Das was ich da lese reicht mir eigentlich schon!

Dein System ist mit einem sogenannten Backdoor-Trojaner infiziert, welches dritten Personen ermöglicht deinen PC zu steuern bzw. zu kontrollieren.
Wahrscheinlich ist diese Infizierung durch die fehlende Absicherung deines Betriebssystems zustande gekommen.

Es gibt nun zwei Möglichkeiten für dich:

1.) Eine von grundauf Sanierung des Systems, d.h. Neuinstallation mit anschliessender Absicherung.
Würde bedeuten alles wäre neu, und das System wäre wieder sicher und bereinigt!

2.) Eine Bereinigung deines System welche unter Umständen sehr zeitintensiv wird und dein System danach trotzdem nicht vertrauenswürdig ist.
d.h. Aktionen wie Online-Banking, Ebay, PayPal sind dann mit Vorsicht zu genießen.

Die Entscheidung liegt nun bei dir!

Was passieren kann wenn ein Backdoor Trojaner aktiv ist, sieht man an diesem Beitrag welcher gerade rein zufällig erstellt worde -> http://www.trojaner-board.de/45009-k...ht-finden.html

lieber sunny,

vielen dank für deine antwort.

ich habe diesen e-scan durchgeführt - dort wurde der besagte trojaner auch festgestellt. wie kann ich den nun am besten entfernen? ich habe erst letzte woche meine festplatte gelöscht und den pc neu aufgesetzt. schön langsam weiss ich nicht mehr, was ich tun soll, damit das system stabil und vor allem sauber bleibt. kennst du vielleicht eine gute firewall und virensoftware, die gratis zum downloaden ist?

lg
lizzie