Hallo Leute,

ich hoffe sehr, dass Ihr mir helfen könnt:

Ich habe den ganzen Tag dafür verwendet, mit meinem Laptop endlich wieder ans Internet gehen zu können - doch vergeblich.

Folgendes ist passiert: Mit meinem Laptop (Win XP) bin ich gestern ins Internet gegangen. Als ich heute wieder online sein wollte, ging das nicht. Ich merkte, dass meine Startseite geändert wurde, und zwar auf "about:blank": Zu sehen war die Seite einer Suchrubrik. Daraufhin änderte ich bei meinem IE die Startseite, indem ich auf "Extras">"Internetoptionen" gegangen bin. Doch kaum habe ich den IE weggeklickt und neu geöffnet, ist meine Startseite wieder geändert und wieder auf "about:blank" mit der Suchrubrik.

Daraufhin habe ich alle temporären Internetdateien mit meinem "Steganos Internet Spurenvernichter" gelöscht. Zu meiner Verwunderung stellte ich fest, dass beim Anklicken des IE-Buttons wieder als Start-Seite "about:blank" und die Suchrubrik zu sehen war, obwohl ich gar nicht online war und obwohl normalerweise "Kann nicht gefunden werden"-Seite geöffnet werden müsste.

Ich habe deshalb mit meinem anderen PC im Internet recherchiert und herausgefunden, dass mein IE gehijacked wurde. Dann habe ich den CWShreeder heruntergeladen, auf eine Diskette gespeichert, auf meinem Laptop kopiert (weil ich ja nicht mehr mit meinem Laptop online sein konnte) und durchgeführt. Seitdem ist meine Startseite wieder normal.

Allerdings kann ich weiterhin nicht ins Internet gehen. Meine Verbindung wird sofort wieder abgebrochen, so dass keine Webseite geladen werden kann.

Ich kann auch sowohl Notepad als auch MS WORD nicht mehr öfnnen.

Es ist sehr rätselhaft für mich, wie das passieren konnte. Ich gehe über einen Router via DSL online, mein Router hat eine eingebaute Firewall, ich benutze seit langem ZoneAlarm, habe erst vor kurzem alles upgedatet, also ZoneAlarm, Ad-Aware, Spybot Search and Destroy, habe keine Dateianhänge geöffnet, die von unbekannten stammen oder die ich nicht erwartet hatte, und Zugang zu meinem Laptop habe auch nur ich und sonst keiner.

Bitte helft mir weiter. Ich habe seit sieben Stunden im Internet recherchiert, um eine Lösung zu finden, doch vergebens. Herausgefunden habe ich lediglich, wie man die Startseite wieder in Ordnung bringt, was ich auch nun vollbracht habe.

Aber wie kann ich wieder
a.) ins Internet gehen
b.) Notepad benutzen
c.) Word benutzen
d.) den Troyaner/Virus entfernen?

Ad-Aware und Spybot Search and Destroy haben nichts gefunden.

Ich habe selber eine exe-Datei gefunden mit dem Namen "Italiaflat.exe". Als Datum trägt die Datei das Datum von gestern, als ich letztmalig online war. Diese Exe-Datei habe ich manuell gelöscht. Doch an meinem Problem hat sich nichts geändert.

Unter Windows>System32 habe ich "actmovie.exe" gefunden. Allerdings trägt er das Datum von vor ein Paar Jahren, so dass ich annehme, dass diese Exe-Datei zu Windows gehört??

Bei Windows sehe ich keine Notepad.exe-Datei, sondern lediglich eine Notepad.exe.bak Datei. Diese bak-Datei trägt das Datum von gestern als ich letztmalig online war. Soll ich das was ändern, z.B. den Namensende .bak weg machen, damit ich wieder Notepad nutzen kann?

Ich verzweifele. Heute hätte ich eigentlich an meinem Laptop arbeiten müssen, doch stattdessen habe ich alle Zeit dafür verwendet, den Troyaner/Virus oder was das auch immer ist, zu finden und zu eliminieren.

Hilfe...

Jim

Übrigens, ich hatte zuletzt am 10. Juni 2004 sämtliche Patches von Microsoft heruntergeladen, indem ich die Update-Funktion benutzt hatte. D.h., mein Computer war auf dem neuesten Stand. Auch habe ich keine CDs oder Disketten gestern reingelegt, als das Problem aufgetreten ist.

Jim

Mein Browser ist der IE 6.0. Beim Updaten meines Betriebssystems wurden auch alle anderen Teile geupdated, wie der MediaPlayer, Outlook Express, IE etc.

Jim

Hallo Jim!

</font><blockquote>Zitat:</font><hr />Original erstellt von jim2005:
Folgendes ist passiert: Mit meinem Laptop (Win XP) bin ich gestern ins Internet gegangen. Als ich heute wieder online sein wollte, ging das nicht.</font>[/QUOTE]Das könnte auch auf einen Dialer hindeuten, der die ein oder andere Einstellung an deinem System verändert hat.

</font><blockquote>Zitat:</font><hr />Ich habe deshalb mit meinem anderen PC im Internet recherchiert und herausgefunden, dass mein IE gehijacked wurde.</font>[/QUOTE]Ja, mindestens. Es ist aber nicht auszuschließen, dass weitere unerwünschte Software auf dein System gelangen konnte. Dieses Hijacking hat ja auch ein Ziel. Und so werden zumeist über aktive TrojanDownloader weitere Dateien nachgeladen oder unter Ausnutzung bestimmter Sicherheitslücken des Internet Explorers installiert.

</font><blockquote>Zitat:</font><hr />Dann habe ich den CWShreeder heruntergeladen, auf eine Diskette gespeichert, auf meinem Laptop kopiert (weil ich ja nicht mehr mit meinem Laptop online sein konnte) und durchgeführt. Seitdem ist meine Startseite wieder normal.</font>[/QUOTE]Ja, etliche Hijacker kann er löschen, aber leider auch nicht alle. Zudem bleiben die Folgen, die aus den einmal aktiven Trojanern resultieren, davon unberührt.

</font><blockquote>Zitat:</font><hr />Allerdings kann ich weiterhin nicht ins Internet gehen. Meine Verbindung wird sofort wieder abgebrochen, so dass keine Webseite geladen werden kann.</font>[/QUOTE]Erstell bitte ein HijackThis-Logfile. Poste es hier.

</font><blockquote>Zitat:</font><hr />Ich kann auch sowohl Notepad als auch MS WORD nicht mehr öfnnen.</font>[/QUOTE]Es gibt Malware, die Systemdateien ersetzt. Somit nicht weiter verwunderlich.

</font><blockquote>Zitat:</font><hr />Es ist sehr rätselhaft für mich, wie das passieren konnte.</font>[/QUOTE]Durch die Nutzung des Internet Explorers. Es gibt zahlreiche nicht behobene, sicherheitsrelevante Bugs. Siehe auch hier:

http://spotlight.de/zforen/sec/m/sec...649-32330.html

</font><blockquote>Zitat:</font><hr />Ich gehe über einen Router via DSL online, mein Router hat eine eingebaute Firewall,</font>[/QUOTE]Du sprichst sicher von NAT. Dies kann, sofern aktiviert / richtig konfiguriert dahingehend helfen, Netzwerkwürmern den Zugang zum PC zu verwehren, vor weiterer Malware, die sich über Sicherheitslücken in von dir genutzter Software (Browser, Mailprogramm, Messenger, etc.) oder durch manuelle Installation, ausgeführt vom User verbreitet, bietet sie jedoch keinen Schutz.

</font><blockquote>Zitat:</font><hr />ich benutze seit langem ZoneAlarm,</font>[/QUOTE]Weitestgehend nutz-/wirkungslos.

</font><blockquote>Zitat:</font><hr />habe erst vor kurzem alles upgedatet,</font>[/QUOTE]Das ist gut und lobenswert, reicht aber nicht. Siehe die ungepatchten IE-Sicherheitslücken.

</font><blockquote>Zitat:</font><hr />also ZoneAlarm, Ad-Aware, Spybot Search and Destroy,</font>[/QUOTE]ZoneAlarm bietet hier, wie bereits angedeutet, keinen vorbeugenden Schutzeffekt, denn es wird ja eine Sicherheitslücke im Browser ausgenutzt, AdAware und Spybot könnten allenfalls erkennend und malwarebeseitigend aktiv werden, aber dann ist es meist eh zu spät, da es immer schwierig ist sicherzustellen, dass wirklich alles erkannt / entfernt wurde. Vorbeugen ist hier allemal besser.

</font><blockquote>Zitat:</font><hr />habe keine Dateianhänge geöffnet, die von unbekannten stammen oder die ich nicht erwartet hatte,</font>[/QUOTE]Diese Art von Malware verbreitet sich auch eher über das Surfen im Netz. Allerdings: wenn du einen Mailclienten nutzt, der in der Vorschau die Mail im HTML-Format darstellt, wäre auch dies ein nicht zu unterschätzendes Sicherheitsrisiko.

</font><blockquote>Zitat:</font><hr />Ad-Aware und Spybot Search and Destroy haben nichts gefunden.</font>[/QUOTE]Vergiss erstmal diese Programme, denn ihre Leistungsfähigkeit ist doch (prinzipiell) recht begrenzt.

</font><blockquote>Zitat:</font><hr />Ich habe selber eine exe-Datei gefunden mit dem Namen "Italiaflat.exe". Als Datum trägt die Datei das Datum von gestern, als ich letztmalig online war. Diese Exe-Datei habe ich manuell gelöscht.</font>[/QUOTE]Hm, schade. Es wäre besser gewesen, du hättest sie zumindest in einem Quarantäneordner gesichert. Dann hätte man feststellen können, um was genau es sich handelt, und dementsprechend Maßnahmen ergreifen können.

</font><blockquote>Zitat:</font><hr />Unter Windows&gt;System32 habe ich "actmovie.exe" gefunden. Allerdings trägt er das Datum von vor ein Paar Jahren, so dass ich annehme, dass diese Exe-Datei zu Windows gehört??</font>[/QUOTE]Prüf diese Datei bitte hier:
http://www.kaspersky.com/de/scanforvirus

Falls sie *nicht* als "infiziert" erkannt wird, sende sie bitte via Mail an die beiden in meiner Signatur genannten Mailadressen!

</font><blockquote>Zitat:</font><hr />Bei Windows sehe ich keine Notepad.exe-Datei, sondern lediglich eine Notepad.exe.bak Datei. Diese bak-Datei trägt das Datum von gestern als ich letztmalig online war. Soll ich das was ändern, z.B. den Namensende .bak weg machen, damit ich wieder Notepad nutzen kann?</font>[/QUOTE]Bitte erstmal noch nichts machen.

</font><blockquote>Zitat:</font><hr />Ich verzweifele.</font>[/QUOTE]Ruhe bewahren! [img]smile.gif[/img]

[ 24. Juni 2004, 15:47: Beitrag editiert von: mmk ]

Hallo,

ich gebe mal ungeprüft hier ein Mail weiter, die ich gestern erhielt:

</font><blockquote>Zitat:</font><hr />bitte mal prüfen: ich hatte auch die Zwangsseite about:blank.
HAbe alles mögliche an Spyware-Killern etc. versucht. Registry editiert, half auch nichts.
Allerdings fiel mir auf das Notepad nicht funktioniert.

Habe dann mal geprüft ( über die Suche ) was seit dem Zeitpunkt so alles an neuen Dateien auf dem PC sind. Zuerst Windows und Unterverzeichnisse.

In ../system32 wurde ich fündig. notepad.exe.bak und zwei nagelneue *.dll. Alle am selben Tag zur selben Zeit erstellt. Dateien einfach mal in ein anderes Verzeichnis verschoben, und alle Probleme waren beseitigt.</font>[/QUOTE]Wie gesagt, ich habe es noch nicht überprüfen können und jetzt eigentlich 'gar keine Zeit'... Aber probieren kannst Du es wie beschrieben einmal. Kaputtmachen kannst Du damit nichts.

Ich schaue später noch mal herein...

Hallo Markus, hallo Lutz!

Erstmal danke für Eure Antworten.

@ Lutz: Ich werde die Notepad.exe.bak-Datei in ein anderes Verzeichnis verschieben und sehen, ob ich Notepad und Word wieder öffnen kann. Falls nicht, dann mache ich die Verschiebung rückgängig?

@ Markus: Unten findest Du mein HijackThis-Logfile. Was die Prüfung der actmovie.exe-Datei auf http://www.kaspersky.com/de/scanforvirus angeht, so bleibt mir dies zurzeit noch verwehrt, weil ich ja wegen diesem Problem mit meinem Laptop nicht ins Internet gehen kann. Sobald ich das aber kann und falls diese exe-Datei nicht als infiziert erkannt wird, sende ich sie an Deine angegeben Mailaddresse.

Im Übrigen muss ich sagen, dass ich zum ersten Mal in meinem Leben einen Computervirus/Trojaner bekommen habe. Seit den letzten fünf Jahren arbeite ich täglich mit Computern. Gerade deswegen bin ich so schockiert, dass es mich jetzt erwischt hat.

Danke im voraus, dass Ihr Euch mein HijackThis-Logfile anschaut.
-------------------

Logfile of HijackThis v1.97.7
Scan saved at 4:24:29 PM, on 6/24/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SLEE401.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\WZCBDL Service\WZCBDLS.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\00THotkey.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Synaptics\SynTP\cPad\AlarmWatcher.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\toshiba\ivp\ism\pinger.exe
C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Program Files\Drag'n Drop CD\BinFiles\DragDrop.exe
C:\Program Files\D-Link\Air USB Utility\AirCFG.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Internet Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\JIMR~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\JIMR~1\LOCALS~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\JIMR~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\JIMR~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\JIMR~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freeserve.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\JIMR~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Freeserve
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\INTERN~2\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [cPadAlarm] C:\Program Files\Synaptics\SynTP\cPad\AlarmWatcher.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [Pinger] c:\toshiba\ivp\ism\pinger.exe /run
O4 - HKLM\..\Run: [TosHKCW.exe] C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [Drag'n Drop CD] C:\Program Files\Drag'n Drop CD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Program Files\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freeserve.com/
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...862.4134606481
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab


------------

Schließ alle IE-Fenster. Markier dann in HijackThis dieses Einträge und wähle "Fix checked":

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\JIMR~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\JIMR~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\JIMR~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\JIMR~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\JIMR~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h+tp://www.freeserve.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\JIMR~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Freeserve
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O14 - IERESET.INF: START_PAGE_URL=h+tp://www.freeserve.com/


Was die besagte Datei betrifft: pack sie in ein zip-Archiv, kopier sie auf Diskette und prüf sie dann bei genanntem Link.

Edit: Wie groß ist diese Datei? Es wird sich wohl doch eher "nur" um eine Windows Systemdatei handeln.

[ 24. Juni 2004, 18:16: Beitrag editiert von: mmk ]

Hallo Markus,

danke, dass Du auf mein HijackThis-File geschaut hast. Ich habe alles so gemacht, wie Du geschrieben hast. Unten kannst Du meine neue HijackThis-File sehen, also nachdem ich das durchgeführt hatte, was Du geschrieben hast.

In Bezug auf actmovie.exe muss ich sagen, dass ich die Datei auf http://www.kaspersky.com/de/scanforvirus geprüft habe. Herausgekommen ist dieses Ergebnis:

---------------------------------------------
Zu überprüfende Datei: actmovie.exe

actmovie.exe Ok

Statistiken:
Bekannte Viren: 91708 Updated: 24-06-2004
Größe der Datei (Kb): 4 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0

---------------------------------------------


Hier mein neues HijackThis-Logfile:

-------------------------------------------

Logfile of HijackThis v1.97.7
Scan saved at 8:19:51 PM, on 6/24/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SLEE401.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\WZCBDL Service\WZCBDLS.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\00THotkey.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Synaptics\SynTP\cPad\AlarmWatcher.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\toshiba\ivp\ism\pinger.exe
C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Program Files\Drag'n Drop CD\BinFiles\DragDrop.exe
C:\Program Files\D-Link\Air USB Utility\AirCFG.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Documents and Settings\Jim Rath\My Documents\My eBooks\zInfoCol\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\INTERN~2\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [cPadAlarm] C:\Program Files\Synaptics\SynTP\cPad\AlarmWatcher.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [Pinger] c:\toshiba\ivp\ism\pinger.exe /run
O4 - HKLM\..\Run: [TosHKCW.exe] C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [Drag'n Drop CD] C:\Program Files\Drag'n Drop CD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Program Files\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...862.4134606481
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab


-------------------------------------------

So, jetzt habe ich versucht, ob ich
a.) ans Internet gehen kann mit meinem Laptop,
b.) MS Word und
c.) Notepad öffnen kann.
Leider kann ich in allen drei Anliegen keinerlei Erfolgsmeldungen melden.

Schon vor diesen HijackThis-Massnahmen hatte ich durch den CWShreeder die about:blank-Startseitenproblematik gelöst gehabt.

Darf ich fragen, da ich nie zuvor HijackThis benutzt hatte, was die gerade eben durchgeführten Massnahmen hätten bewirken sollen?

Heisst das, dass ich durch CWShreeder die Startseitenproblematik gelöst hatte und dass ich nun durch die HijackThis-Massnahme die Folgen, die aus den einmal aktiven Trojanern resultieren, in Ordnung gebracht habe?

Kann ich jeh wieder Word und Notepad öffnen oder muss ich mein MS Office komplett deinstallieren und neu installieren? Das wäre problematisch, da bei meinem Word Add-ons sind wie ViaVoice und PDF-Konverter.

Ich habe bei meinen Internet-Connections nachgeschaut. Ich finde keinen einzigen Hinweis, warum die Verbindung ins Internet nicht mehr klappt.

Oh jee, ich will nicht noch den morgigen Tag mit diesem Trojaner/Virus verbringen...

Eines ist sicher: Ich werde nie nie nie wieder den Internet Explorer verwenden. Es gibt Tools, mit denen man Outlook Express, den IE, den MediaPlayer und andere Microsoft-Plagegeister deinstallieren kann. Was hältst Du von diesen Deinstallationstools? Oder machen sie XP instabil? Microsoft dürfte ja alles unternommen haben, dass auch ja nichts aus dem XP-Packet weginstalliert werden kann.

Jim

</font><blockquote>Zitat:</font><hr />Original erstellt von jim2005:
Eines ist sicher: Ich werde nie nie nie wieder den Internet Explorer verwenden. Es gibt Tools, mit denen man Outlook Express, den IE, den MediaPlayer und andere Microsoft-Plagegeister deinstallieren kann. Was hältst Du von diesen Deinstallationstools? Oder machen sie XP instabil? Microsoft dürfte ja alles unternommen haben, dass auch ja nichts aus dem XP-Packet weginstalliert werden kann.</font>[/QUOTE]Den IE brauchst Du für Windowsupdate, außerdem braucht WindowsXP ihn auch, weil er Teil des Betriebssystems ist. Also den besser nicht de-installieren, immer nur auf dem neuesten Stand halten und so wenig wie möglich nutzen.

OE und den Media-Player kann man aber imho deinstallieren. Ob man dazu bei XP spezielle Tools braucht weiß ich aber nicht.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Hallo Jim,

in andern Foren habe ich in der Zwischenzeit einen unmittelbaren Zusammenhang der Dateien 'actmovie.exe' und 'Notepad.exe.bak' gefunden.

Wenn nicht schon geschehen, überprüfe die beiden Dateien auch mal online bei Kaspersky, oder benutze Escan (siehe meine Signatur). Wenn nichts gefunden wird, hat Markus bestimmt nichts dagegen, wenn Du die Dateien an die Mailadressen in seiner Signatur schickst. Du solltest auf keinen Fall die notepad.exe.bak nach notepad.exe umbenennen, solange nicht geklärt ist, ob diese Datei 'clean' ist!

Such mal bitte Deine Festplatte(n) ab, ob Du die notepad.exe noch an anderer Stelle wiederfindest.
Alternativ kannst Du hier auch eine Originaldatei herunterladen -&gt; http://www.spywareinfo.com/~merijn/winfiles.html

</font><blockquote>Zitat:</font><hr />Original erstellt von Yopie:
OE und den Media-Player kann man aber imho deinstallieren. Ob man dazu bei XP spezielle Tools braucht weiß ich aber nicht.</font>[/QUOTE]@jim2005: es gab da mal ein tool namens outlook-exorzist. das gab's anno dazumal meines wissens nach allerdings nur für 9x/me....

OE sollte nach installation des service-packs 1 unter software -&gt; windows-komponenten über die systemsteuerung entfernbar sein - sagt zumindest mickeysoft...

wenn dem nicht so ist, mußt du den eintrag erst noch sichtbar machen:
- suche im windows-ordner die datei sysoc.inf
- öffne sie und suche den eintrag "OEAccess=ocgen.dll,OcEntry,oeaccess.inf,hide,7"
- ersetze das "hide" mit nix
- speichern (gegen blindes vertrauen hilft hier übrigens eine vorherige kopie der datei ).
nun sollte unter software auch das OE angezeigt werden und deinstallierbar sein.
wieviel dann davon noch übrigbleibt, weiß ich leider nicht, aber es wird sicher einiges sein, da sich windoof nur ungern von "alten freunden" trennt :&gt;. "unschädlich" gemacht wird's aber trotzdem...

was den mediaplayer betrifft, hab ich selbst schon einige leidige erfahrungen gemacht (das ging damals bis zum frustlöschen ), allerdings ist die EU-kommission bereits seit 2002 bemüht, mickeysoft dazu zu bringen, entweder die tiefe verwurzelung des mp im betriebssystem zu entschärfen oder aber selbst einen alternativ-browser eines anderen anbieters mit dem os mitzuliefern. man wird sehen, wieviele jahre das noch dauert .


gruß,
Cassandra

Hallo Markus, hallo Lutz!

Markus, Du hast geschrieben, falls die actmovie.exe bei http://www.kaspersky.com/de/scanforvirus nicht als infiziert erkannt wird, ich diese exe-Datei via Mail an die beiden in Deiner Signatur genannten Mailadressen schicken solle. Im Anhang zu meiner versendeten Mail findest Du die actmovie.exe-Datei samt andere verdächtige Dateien.

Ich muss sagen, dass diese exe-Datei nicht das Datum trägt, an dem meine Probleme aufgetreten sind. Als Datum trägt die exe-Datei den 04. Februar 2002, also ungefähr jenes Datum, als mein Laptop im Kaufhaus zum Verkauf stand und ich es gekauft habe.

Die actmovie.exe-Datei befindet sich bei mir unter Windows &gt; System32.

Direkt neben diese actmovie.exe-Datei finden sich die folgenden Dateien, die ich auch im Anhang mitgesendet habe:

activeds.dll
activeds.tlb
actxprxy.dll

Was Du noch wissen solltest: Als ich den CWShreeder benutzt hatte, um die Startseitenproblematik meines IE-Browser to beheben, wurde

JKIP.dll

entfernt. Diese dll-Datei trägt das Datum, an dem mein Problem aufgetreten ist. Seitdem diese Datei eliminiert ist, ist die Startseitenproblematik weg.

Ich kann weiterhin keine Verbindung ins Internet stellen, sowie Notepad und Word nicht mehr öffnen. Deshalb habe ich Dir, Markus, auch die Datei

notepad.exe.bak

an meiner Mail angehängt. Die Datei trägt das Datum, an dem mein Problem aufgetreten ist.

Ich habe mein Laptop durchsucht und keine Notepad.exe-Datei gefunden. Was ich gefunden habe, sind:

Notepad unter C:\WINDOWS
Notepad.exe.bak unter C:\WINDOWS
NOTEPAD.EXE-189578DA.pf unter C:\WINDOWS\Prefetch

Diese Notepad.exe.bak-Datei ist die einzige. Ich habe das Gefühl, dass hier der Wurm steckt. Wieso sonst kann ich keine Notepad-Dateien mehr öffnen und wieso habe ich kein Notepad.exe mehr?

Ich habe in anderen Foren im Internet gesucht und herausgefunden, dass ein User eine Verbindung zwischen dieser Notepad.exe.bak und actmovie.exe herausgefunden hat.
Der User schreibt:
"Bei den Eigenschaften der Editorverknüpfung habe ich gesehen, dass als Ziel angegeben wird:
C:\WINDOWS\system32\actmovie.exe
Jetzt habe ich das einfach mit notepad.exe ersetzt und der Editor öffnet sich wieder."

Ich habe bei meinem XP keinen "Editor" unter "Zubehör", hatte dies nie gehabt. Deshalb kann ich nicht prüfen, was oder ob actmovie.exe als Ziel angegeben wird.
Ich verstehe auch nicht den letzten Satz: Hat er actmovie.exe mit notepad.exe ersetzt? Ich habe aber kein Notepad.exe, sondern nur Notepad.exe.bak.

Könnt Ihr bitte bei Euch unter Windows&gt;system32 nachschauen, ob Ihr auch actmovie.exe besitzt?

Weißt Du, was ich nun tun soll?


Jim
*verzweifelt*

Da deine Geschichte etwas komplizierter ist, braucht es dafür etwas mehr Zeit, sorry. Mehr dazu morgen.

Ich schlage erstmal vor, die notepad.exe von der XP-CD zu extrahieren und dann ins System zu kopieren. Wie das geht, steht z.B. hier:

http://www.experts-exchange.com/Oper..._20987494.html

Hallo Markus,

da ich unbedingt meinen Laptop wieder gebrauchen musste (ich wollte Word wieder oeffnen, Notepad wieder oeffnen, ins Internet gehen),
habe ich die Systemwiederherstellungsfunktion meines Windows XP betaetigt. Ich habe mein Laptop auf ein Datum VOR dem Viren-/
Trojaner-Befall zurueckversetzt.

Dadurch kann ich nun wieder Word und Notepad oeffnen sowie ins Internet gehen.

Da ich angenommen habe, dass der Virus/Trojaner weiterhin im Laptop schlummert, wenn auch inaktiv, habe ich unter Windows &gt; System 32
notepad.exe.bak und wmv.exe.bak manuell geloscht. Beide bak-Dateien trugen das Datum, als das Hijacking und der Virus-/Trojaner-Befall auftauchten.

Nachfolgend habe ich den Laptop neu gestartet. Dann habe ich HijackThis durchgefuehrt und manuell about:blank entfernt.

Wieder Laptop neu gestartet und dann nochmals HijackThis durchgefuehrt. Hier ist das Logfile:


----------------------------------------------------------------------------------------------------------------


Logfile of HijackThis v1.97.7
Scan saved at 10:56:37 AM, on 6/27/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SLEE401.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\WZCBDL Service\WZCBDLS.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\00THotkey.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Synaptics\SynTP\cPad\AlarmWatcher.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\toshiba\ivp\ism\pinger.exe
C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Program Files\Drag'n Drop CD\BinFiles\DragDrop.exe
C:\Program Files\D-Link\Air USB Utility\AirCFG.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Internet Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [cPadAlarm] C:\Program Files\Synaptics\SynTP\cPad\AlarmWatcher.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [Pinger] c:\toshiba\ivp\ism\pinger.exe /run
O4 - HKLM\..\Run: [TosHKCW.exe] C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [Drag'n Drop CD] C:\Program Files\Drag'n Drop CD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Program Files\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freeserve.com/
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...862.4134606481
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab


----------------------------------------------------------------------------------------------------------------


Diese vielen exe-Dateien unter C:\, sind die alle gutartig?

Was mich stoert, ist

O14 - IERESET.INF: START_PAGE_URL=http://www.freeserve.com/

Kann ich diese O14 auch problemlos mit HijackThis entfernen? freeserve ist und soll nicht meine Startseite sein. Das freeserve-Logo an
meinem IE nervt mich auch, weiss gar nicht, wie er vor einem Jahr sich eingenistet hat.

Da ich nun keine Probleme habe und mittels HijackThis about:blank geloescht habe, bin ich nun komplett sauber?

Danke, Freunde!

Jim

Neiiiin!!!!

Ich kann jetzt wieder nicht Word öffnen und ins Internet gehen, was ist nur los?

Windows Restore Funktion hat wohl nur für einen Tag genützt.

Allerdings kann ich Notepad öffnen, was mir vorher nicht möglich war. Ich denke aber, dass liegt daran, dass ich notepad.exe.bak gelöscht habe.

Ich könnte jetzt Word komplett deinstallieren und von CD neu installieren. Aber das Grundproblem (Virus/Trojaner komplett eliminieren) löst sich dann genauso wenig wie ich es mit Windows Restore zu beheben versuchte.

Zudem habe ich ja das Problem, nicht mehr ins Internet gehen zu können. Die Verbindung wird sofort gekappt.

In dem einen Tag, als ich ins Internet gehen konnte mit meinem Laptop, habe ich die neueste Version von ad-aware durchlaufen lassen sowie Spotbot S&D. Diese konnten einige Exploits ausfindig machen und eliminieren.

Bitte, ich brauche meinen Laptop ab Montag, also morgen, unbedingt. Ich bin so verzweifelt. Was soll ich jetzt nur tun?

Jim