Hallo,
ich bin kein Computer-Ass und suche daher eure Hilfe:
Seit nun etwas mehr als einer Woche habe ich Probleme mit Pop-Ups, Cookies und allgemeinen Problemen wie sie bei Viren auftreten, etwa Abstürzen und starke Verlangsamung.
Erst einmal möchte ich versuchen zu schildern wie es dazu kam:
Mein Vater, der gleichzeitig von demjenigen der das Netzwerk eingerichtet hatte als Administrator eingesetzt wurde, fuhr als ich gerade einmal außer Haus war den PC herunter, jedoch nicht ohne vorher die, seiner Meinung nach zu niedrigen, Sicherheitsoptionen auf die Maximalstufe zu setzen.
Da dies viele Probleme verursachte und er einsah dass die Maximalstufe mehr behinderte als nützte, setzte ich die Einstellungen erst wieder auf Standart, später von "Niedrig (Standart)" auf "Mittelhoch".
Es sollte dazugesagt sein, dass er sich später nicht mehr genau erinnerte was er alles verstellte
Seitdem habe ich die Oben beschriebenen Probleme, die ich nun hier noch ein bisschen erläutern will:
- Pop-Ups (zumindest halte ich sie dafür); soll heißen, eigene Internet Explorer die jedoch keine Aktionsleiste besitzen und Werbung für verschiedene mehr oder weniger unanständige Seiten machen.
- Abstürze und Grafikfehler; die CPU-Auslastung liegt gerne mal im 90% Bereich und auch die Startleiste auf dem Desktop verschwindet öfters ohne zurückzukehren; Abgesicherter Modus hilft nichts, Es wird kein Desktop angezeigt das einzige Programm das zu öffnen ist, ist der Taskmanager.
- Die Cookieeinstellung in den Internetoptionen setzt sich immer wieder selbstständig auf die niedrigste Stufe "Alle Cookies annehmen" zurück.
- Von alldem funktioniert das Internet am allerwenigsten, wird es geöffnet werde ich zugespammt.
- Auch ein Internet Scan mit der Website "F Secure...(restlicher Name ist mir entfallen)" die mir von einem Sachkundigen bekannten empfohlen wurde hat bisher keinen Nutzen gebracht, es wurden zwar Trojaner gefunden und entfernt, was aber die Lage nicht verbesserte.
- Ebenfalls tauchen zwielichtige Dateien im System32 auf welche nicht erkannt und gelöscht werden können. Der Internet Explorer unterstützt seltsame Addons die ebenfalls diesem Ordner entstammen.

So, das war nun eine ganze Menge, ich hoffe ihr könnt mir helfen.
Soweit, mit freundlichen Grüßen
Euer unbekanntes F

Hi,

kannst du bitte ein regelkonformes HijackThis Logfile posten?

Danke

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:55:00, on 24.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\ICQ6\ICQ.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2H2JIJCP\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {03EC8CE0-E697-4339-8BC2-2DDF72716A42} - C:\WINDOWS\system32\geBqPGVN.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {43580353-6788-41BC-95C7-2BA7D8FE7083} - C:\WINDOWS\system32\ljJATLCt.dll
O2 - BHO: {812f147b-a93c-df0a-f1e4-198befb48cc6} - {6cc84bfe-b891-4e1f-a0fd-c39ab741f218} - C:\WINDOWS\system32\jayzsy.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BMfb188fc7] Rundll32.exe "C:\WINDOWS\system32\sunxlwem.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Download all by YouTube Robot - res://D:\Programme\YouTubeRobot\RobotExt.ocx/ALL.HTM
O8 - Extra context menu item: Download by YouTube Robot - res://D:\Programme\YouTubeRobot\RobotExt.ocx/LINK.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{48B0CE17-19DE-45AC-B5AF-52AFB4E76A7F}: NameServer = 192.168.178.1
O20 - Winlogon Notify: geBqPGVN - C:\WINDOWS\SYSTEM32\geBqPGVN.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6812 bytes

Ich hoffe das war richtig so

Hallo,
C:\WINDOWS\system32\geBqPGVN.dll
C:\WINDOWS\system32\ljJATLCt.dll
C:\WINDOWS\system32\jayzsy.dl
C:\WINDOWS\system32\sunxlwem.dll
C:\WINDOWS\SYSTEM32\geBqPGVN.dll

Bitte mal folgendes mit den obigen Datein machen.

Tests durchführen
1. Avira Labor
Sende die verdächtigen Datein ans Avira Labor und vergiss nicht für die Benachrichtigung eine gültige E-Mailadresse anzugeben.

2. Virustotal
Lade die Datein bei Virustotal hoch und schreibe bei keinem Fund trotzdem zu dem Dateinamen den MD5 Hasg. Wenn etwas gefunden wurde, füge das ganze Log ein oder poste den Link zu der Ergebnisseite.

a-squared Free Scan ausführen
Bitte lade dir a-squared Free herunter. Führe ein Update aus und mache einen vollständigen Scan. Lösche am Ende noch keine Funde sondern liste alle Funde samt deren Fundort (Verzeichnis) hier auf. Dabei musst du die Tracking Cookies nicht nennen.

TCP View Log posten
Bitte lade dir TCP View runter und beende vorher alle bekannten Internetanwendungen (ICQ, Firefox, ...). Stelle anschließend ein Logfile mit File/Save her und poste das Log hier.

Das waren auch meine Vermutungen.

Hier die Auswertung von Avira:

Datei ID Dateiname Größe (Byte) Ergebnis
25142125 geBqPGVN.dll 23.5 KB MALWARE


Datei ID Dateiname Größe (Byte) Ergebnis
25142126 ljJATLCt.dll 307 KB MALWARE


Datei ID Dateiname Größe (Byte) Ergebnis
25137933 jayzsy.dll 117 KB MALWARE


Datei ID Dateiname Größe (Byte) Ergebnis
25142127 sunxlwem.dll 93 KB UNDER ANALYSIS

Und noch bei Virustotal prüfen...

Bei jayzsy.dll

AhnLab-V3 2008.9.23.1 2008.09.24 -
AntiVir 7.8.1.34 2008.09.24 TR/Vundo.JU
Authentium 5.1.0.4 2008.09.23 -
Avast 4.8.1195.0 2008.09.23 -
AVG 8.0.0.161 2008.09.24 -
BitDefender 7.2 2008.09.24 Trojan.Vundo.FNQ
CAT-QuickHeal 9.50 2008.09.24 -
ClamAV 0.93.1 2008.09.24 -
DrWeb 4.44.0.09170 2008.09.24 -
eSafe 7.0.17.0 2008.09.24 Suspicious File
eTrust-Vet 31.6.6103 2008.09.24 -
Ewido 4.0 2008.09.24 -
F-Prot 4.4.4.56 2008.09.23 -
F-Secure 8.0.14332.0 2008.09.24 -
Fortinet 3.113.0.0 2008.09.23 -
GData 19 2008.09.24 Trojan.Vundo.FNQ
Ikarus T3.1.1.34.0 2008.09.24 Trojan.Win32.Vundo.R
K7AntiVirus 7.10.469 2008.09.23 -
Kaspersky 7.0.0.125 2008.09.24 -
McAfee 5390 2008.09.23 Vundo
Microsoft 1.3903 2008.09.24 Trojan:Win32/Vundo.gen!R
NOD32 3467 2008.09.24 -
Norman 5.80.02 2008.09.23 -
Panda 9.0.0.4 2008.09.24 -
PCTools 4.4.2.0 2008.09.24 -
Prevx1 V2 2008.09.24 Cloaked Malware
Rising 20.63.22.00 2008.09.24 -
Sophos 4.33.0 2008.09.24 Troj/Virtum-Gen
Sunbelt 3.1.1666.1 2008.09.24 -
Symantec 10 2008.09.24 Trojan.Vundo
TheHacker 6.3.0.9.092 2008.09.24 -
TrendMicro 8.700.0.1004 2008.09.24 -
VBA32 3.12.8.5 2008.09.23 -
ViRobot 2008.9.24.1390 2008.09.24 -
VirusBuster 4.5.11.0 2008.09.23 -
Webwasher-Gateway 6.6.2 2008.09.24 Trojan.Vundo.JU


Bei geBqPGVN.dll

AhnLab-V3 2008.9.23.1 2008.09.24 -
AntiVir 7.8.1.34 2008.09.24 TR/Vundo.JZ
Authentium 5.1.0.4 2008.09.23 -
Avast 4.8.1195.0 2008.09.23 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.09.24 Generic11.ABKF
BitDefender 7.2 2008.09.24 Trojan.Vundo.FNQ
CAT-QuickHeal 9.50 2008.09.24 -
ClamAV 0.93.1 2008.09.24 -
DrWeb 4.44.0.09170 2008.09.24 Trojan.Virtumod.520
eSafe 7.0.17.0 2008.09.24 Suspicious File
eTrust-Vet 31.6.6103 2008.09.24 -
Ewido 4.0 2008.09.24 -
F-Prot 4.4.4.56 2008.09.23 W32/Virtumonde.AC.gen!Eldorado
F-Secure 8.0.14332.0 2008.09.24 Vundo.gen230
Fortinet 3.113.0.0 2008.09.23 -
GData 19 2008.09.24 Trojan.Vundo.FNQ
Ikarus T3.1.1.34.0 2008.09.24 Trojan.Win32.Vundo.R
K7AntiVirus 7.10.469 2008.09.23 -
Kaspersky 7.0.0.125 2008.09.24 -
McAfee 5390 2008.09.23 -
Microsoft 1.3903 2008.09.24 Trojan:Win32/Vundo.gen!R
NOD32 3467 2008.09.24 -
Norman 5.80.02 2008.09.23 Vundo.gen230
Panda 9.0.0.4 2008.09.24 -
PCTools 4.4.2.0 2008.09.24 -
Prevx1 V2 2008.09.24 Fraudulent Security Program
Rising 20.63.22.00 2008.09.24 -
Sophos 4.33.0 2008.09.24 Troj/Virtum-Gen
Sunbelt 3.1.1666.1 2008.09.24 -
Symantec 10 2008.09.24 Trojan.Vundo
TheHacker 6.3.0.9.092 2008.09.24 -
TrendMicro 8.700.0.1004 2008.09.24 -
VBA32 3.12.8.5 2008.09.23 -
ViRobot 2008.9.24.1390 2008.09.24 -
VirusBuster 4.5.11.0 2008.09.23 -
Webwasher-Gateway 6.6.2 2008.09.24 Trojan.Vundo.JZ


Bei ljJATLCt.dll

AhnLab-V3 2008.9.23.1 2008.09.24 -
AntiVir 7.8.1.34 2008.09.24 TR/Vundo.JT
Authentium 5.1.0.4 2008.09.23 -
Avast 4.8.1195.0 2008.09.23 -
AVG 8.0.0.161 2008.09.24 -
BitDefender 7.2 2008.09.24 Trojan.Vundo.FNQ
CAT-QuickHeal 9.50 2008.09.24 -
ClamAV 0.93.1 2008.09.24 -
DrWeb 4.44.0.09170 2008.09.24 -
eSafe 7.0.17.0 2008.09.24 -
eTrust-Vet 31.6.6103 2008.09.24 -
Ewido 4.0 2008.09.24 -
F-Prot 4.4.4.56 2008.09.23 W32/Virtumonde.AC.gen!Eldorado
F-Secure 8.0.14332.0 2008.09.24 -
Fortinet 3.113.0.0 2008.09.23 -
GData 19 2008.09.24 Trojan.Vundo.FNQ
Ikarus T3.1.1.34.0 2008.09.24 Trojan.Win32.Vundo.R
K7AntiVirus 7.10.469 2008.09.23 -
Kaspersky 7.0.0.125 2008.09.24 -
McAfee 5390 2008.09.23 -
Microsoft 1.3903 2008.09.24 Trojan:Win32/Vundo.gen!R
NOD32 3467 2008.09.24 -
Norman 5.80.02 2008.09.23 -
Panda 9.0.0.4 2008.09.24 -
PCTools 4.4.2.0 2008.09.24 -
Prevx1 V2 2008.09.24 Fraudulent Security Program
Rising 20.63.22.00 2008.09.24 Trojan.Win32.Undef.quf
Sophos 4.33.0 2008.09.24 Troj/Virtum-Gen
Sunbelt 3.1.1666.1 2008.09.24 -
Symantec 10 2008.09.24 Trojan.Vundo
TheHacker 6.3.0.9.092 2008.09.24 -
TrendMicro 8.700.0.1004 2008.09.24 -
VBA32 3.12.8.5 2008.09.23 -
ViRobot 2008.9.24.1390 2008.09.24 -
VirusBuster 4.5.11.0 2008.09.23 -
Webwasher-Gateway 6.6.2 2008.09.24 Trojan.Vundo.JT


Bei sunxlwem.dll

MD5: 2ac4f9425bb95f2405d8916e135a34b3
First received: 2008.09.23 23:22:11 (CET)
Datum 2008.09.23 23:22:11 (CET) [<1D]
Ergebnisse 3/36
Permalink: analisis/05082806ed55de01c9b9168b2e99cdc9


So, bitteschön, nahezu alles Malware.