Hallo,
ich habe mich endlich dran gemacht, den nervigen hijacker loszuwerden, der unsere Startseite immer zu smartsearch entführt. Spybot hat einiges gefunden und entfernt aber dieses Problem nicht gelöst. Kann mir jemand helfen, den Scan von HijackThis auszuwerten:

Logfile of HijackThis v1.97.7
Scan saved at 18:32:52, on 25.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Edith\Eigene Dateien\Eigene Downloads\Geschäft\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://svsfjz.t.muxa.cc/s.php?aid=227 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://svsfjz.t.muxa.cc/s.php?aid=227 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://svsfjz.t.muxa.cc/s.php?aid=227 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://svsfjz.t.muxa.cc/h.php?aid=227 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.gmx.de/
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe
O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\win.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: MedionShop (HKCU)

Ist die Problem-Datei dabei, und was mache ich jetzt?
Bin zwar nicht ahnungslos, aber nicht besonders weit davon entfernt. Vielen Dank für freundliche Hilfe!

Schließ alle Internet Explorer sowie alle Windows Explorer-Fenster. Markier in der HijackThis-Auflistung diese Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h+tp://svsfjz.t.muxa.cc/s.php?aid=227 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h+tp://svsfjz.t.muxa.cc/s.php?aid=227 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h+tp://svsfjz.t.muxa.cc/s.php?aid=227 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = h+tp://svsfjz.t.muxa.cc/h.php?aid=227 (obfuscated)
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe
O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\win.exe


Klick sodann auf "Fix checked".

</font><blockquote>Zitat:</font><hr />Ist die Problem-Datei dabei, und was mache ich jetzt?</font>[/QUOTE]Das ist (noch) nicht genau zu sagen. Aber:

O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe

Das deutet schwer auf den Wurm Sasser hin. Infos:
http://sasser.klaffke.de

Des Weiteren: Findest du in C:\WINDOWS\ die Datei win.exe? Falls ja, prüf sie bitte hier und poste dann das Ergebnis:

http://www.kaspersky.com/de/scanforvirus


Kurz-, mittel- und langfristig rate ich zudem zu einem Browserwechsel (Mozilla / Firefox / Opera).

Hi,
vielen Dank für die schnelle Antwort!
Ist "04 - HKLM\....avserve2.exe" nicht ein Bestandteil von antivir?
Und "O4 - HKLM\ ... C:\Windows\win.exe" sieht nach einem Systemprogramm aus, is aber dann wohl keins, oder?
Ich bin unsicher und frag deshalb noch mal.

Den Sasser-Wurm hatten wir und ich dachte ihn erfolgreich bekämpft zu haben. Vielleicht sind doch noch Überbleibsel da.
Übrigens meldet Antivir immer wenn die Smart-search Seite aufgeht ein "Trojan. Pferd TR/ Small.Dld.FO", ich sage dann jeweils "Datei löschen", was aber offensichtlich nichts bringt.
Den Browser werde ich sicher wechseln, danke für den Tip!
Gruß
Edith

</font><blockquote>Zitat:</font><hr />Original erstellt von janamira:
Hi,
vielen Dank für die schnelle Antwort!
Ist "04 - HKLM\....avserve2.exe" nicht ein Bestandteil von antivir?</font>[/QUOTE]Bitte! Nein, das ist ein zu Sasser gehörender Registry-Eintrag. Wie du selbst sagst, möglicherweise ein Rest einer früheren Infektion. Lösch diesen Eintrag (&gt;HijackThis &gt;Scan &gt;Eintrag markieren &gt;Fix checked klicken).

</font><blockquote>Zitat:</font><hr />Und "O4 - HKLM\ ... C:\Windows\win.exe" sieht nach einem Systemprogramm aus, is aber dann wohl keins, oder?</font>[/QUOTE]Nein, ist es nicht - der Name soll den unsicheren User täuschen, genau das ist das Ziel! Frage: Findest du diese Datei unter Windows? win.exe? Falls ja: Prüf sie bei Kaspersky!

</font><blockquote>Zitat:</font><hr />Übrigens meldet Antivir immer wenn die Smart-search Seite aufgeht ein "Trojan. Pferd TR/ Small.Dld.FO", ich sage dann jeweils "Datei löschen", was aber offensichtlich nichts bringt.</font>[/QUOTE]Wo genau meldet er den?

</font><blockquote>Zitat:</font><hr />Den Browser werde ich sicher wechseln, danke für den Tip!</font>[/QUOTE]Ja, schau die die jeweiligen Kandidaten an, und wenn du Fragen hast, frag nach.

</font><blockquote>Zitat:</font><hr />
...vielen Dank für die schnelle Antwort!
Ist "04 - HKLM\....avserve2.exe" nicht ein Bestandteil von antivir?
Und "O4 - HKLM\ ... C:\Windows\win.exe" sieht nach einem Systemprogramm aus, is aber dann wohl keins, oder?
Ich bin unsicher...
</font>[/QUOTE]...wenn mmk etwas empfielt, kannst du schon sicher sein .
</font><blockquote>Zitat:</font><hr />
Den Sasser-Wurm hatten wir und ich dachte ihn erfolgreich bekämpft zu haben.
</font>[/QUOTE]Hast du dein Windows neu aufgesetz? Nur in dem Fall kann man einen Wurm mit Backdoor-Funktion "erfolgreich bekämpfen". Alles anderes ist nur der vergebliche Zeitverlust.

Hallo nochmal!

1.) Systemwiederherstellung deaktivieren: http://www.systemwiederherstellung-d...indows-xp.html
2.) System im abgesicherten Modus starten: http://www.bsi.de/av/texte/winsave.htm#WindowsXP

Dort dann diese beiden Dateien suchen und - wenn gefunden - löschen.

C:\Windows\system32\XDLDR24.Exe
C:\WINDOWS\win.exe

Hi

Ich habe win.exe gefunden und überprüfen lassen, hier das Ergebnis:
win.exe - packed with UPX
win.exe Infiziert: TrojanDownloader.Win32.Delf.ch


"Übrigens meldet Antivir immer wenn die Smart-search Seite aufgeht ein "Trojan. Pferd TR/ Small.Dld.FO", ich sage dann jeweils "Datei löschen", was aber offensichtlich nichts bringt.
--------------------------------------------------------------------------------

Wo genau meldet er den?"

In: Windows\system32\XDLDR24.Exe

Diese Virenwarnung kommt immer zweimal nacheinander.

Manchmal kommt auch eine Trojanerwarnung, die mit "StartPage" aufhört. Da die nicht so zuverlässig (...) kommt, weiß ich da die genaue Bezeichnung und den Pfad nicht.

Noch mal vielen Dank für die kompetente Hilfe, ich zweifle nicht Euer Wissen an. Ich bin nur immer sehr beeindruckt von den Warnungen (z.B. auch bei Hijackthis) nicht zuviel zu löschen, etc.

Wenn ich bei HiJackthis "Fixchecked" eingebe, werden die gemarkerten Dateien restlos gelöscht? Das ging dermaßen schnell und unspektakulär, dass ich mir das kaum vorstellen konnte.

Ich werde die beiden von mir angefragten Teile (O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe
O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\win.exe)
jetzt auch löschen und schauen, was sich tut.

Für heute noch mal dankeschön und schönes Wochenende!
Gruß
Edith

Hallo,
ich habe mein Glück versucht und diese Dateien versucht zu löschen:

C:\Windows\system32\XDLDR24.Exe
C:\WINDOWS\win.exe

Die Win.exe scheint jetzt weg zu sein (HiJackThis zeigt sie nicht mehr an), die andere habe ich nicht gefunden.

Das Problem (veränderte StartPage) besteht nach wie vor, ich habe im abgesicherten Modus auch noch mal spybot laufen lassen und dieses Programm hat zwei ergebnisse wieder gezeigt, die ich eigentlich vor ein paar Tagen schon einmal gelöscht hatte. Darunter ein "common hijacker". Hat evt. jemand eine Idee, was ich jetzt machen könnte?

Gruß
Edith