Wen ich mich über Outlook oder Internet-Explorer
einlogge, werde ich sofort an eine Hompage mit der Adresse:
www.sodhell.com/survey weitergeleitet. Dann möchte sich eine Datei oder
Programm installieren. Wenn ich "Nein" anklicke ist vorerst Ruhe. Mein
Virenschutzprogramm hat folgende Meldungen rausgeschrieben:


12.07.2004,16:03:17 [INFO] Start Filter Device. 12.07.2004,16:03:17 [INIT] AntiVirService Version: 6.26.00.10 AVE Version
6.26.0.5 VDF Version: 6.26.0.22 12.07.2004,16:03:17 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
12.07.2004,16:29:48 [WARNUNG] Enthält Signatur des Droppers
DR/PurScan.B!
C:\DOKUMENTE UND EINSTELLUNGEN\BLEISTEINER PETER\LOKALE
EINSTELLUNGEN\TEMPORARY INTERNET
FILES\CONTENT.IE5\4HOJE94N\MTRSLIB2[1].JS
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da
sie von einem anderen Prozess verwendet wird.


Hier mein Logfile von HijackThis:

Logfile of HijackThis v1.98.0
Scan saved at 17:12:30, on 14.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\WFXSVC.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\System32\ICO.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\sony\vaio power management\SPMgr.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\sony\vaio update 2\VAIOUpdt.exe
C:\Programme\sony\isb utility\ISBMgr.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe
C:\WINDOWS\System32\NILaunch.exe
C:\WINDOWS\System32\wfxsnt40.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuamagr32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\lexreg.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\sony\vaio power management\SPMgr.exe
O4 - HKLM\..\Run: [VAIO Update 2] "C:\Programme\sony\vaio update 2\VAIOUpdt.exe" /Stationary
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\sony\isb utility\ISBMgr.exe
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [VPS] C:\Programme\sony\ProductSurvey\VPS.exe /SCHEDULER
O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamagr32.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\riusy.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamagr32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update] wuamagr32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB70328C-0327-4FAE-AFDD-53D9104735CC}: NameServer = 217.237.151.97 194.25.2.129

Vielleicht kann mir jemand helfen. Vielen Dank im voraus.

PeterB

Hallo and Welcome im Trojaner Board

Hier die automatische Auswertung deines Logfiles - bitte im abgesicherten Modus fixen

e Scan , updaten , Häkchen wie abgebildet setzen und ebenfalls im a.Modus scannen

Entfernung von Trojanern

Zitat:

Zitat von Nangie

Hallo and Welcome im Trojaner Board

Hier die automatische Auswertung deines Logfiles - bitte im abgesicherten Modus fixen

e Scan , updaten , Häkchen wie abgebildet setzen und ebenfalls im a.Modus scannen

Entfernung von Trojanern

Vielen Dank, hab ich so wie beschrieben gemacht mit Erfolg.

PeterB

hallo,

hoffentlich kann mir hier jemand helfen. antivir hat mir folgendes gemeldet:

TR\DLdr.Psyme.Q
TR/Spy.spot
Purscan.B
HTML.MHTREDIR.G

da ich mich nicht so auskenne, habe ich voller panik die dateien gelöscht.

außerdem ging bei mir beim öffnen von internet explorer immer die seite
www.hotwebsearch.de auf.

ich habe die dinger zwar gelöscht, aber ich glaube, sie sind noch da. hoffentlich könnt ihr mir sagen, wie ich diese trojaner unschädlich machen kann. vielleicht kann mir auch jemand sagen, was diese trojaner bewirken.

gruß
tina

@tina

Scan mal hiermit im abg. Modus: http://www.trojaner-board.com/showthread.php?t=6083

Danach poste ein HijackThis-Log.

hallo Christian,

ich komme überhaupt nicht in den abgesicherten Modus rein.

gruss
tina

Warum nicht? Beim Booten F8 taste drücken.

Beim Starten von Windows F8 drücken, dann kommt ein Menü, wo du den Abgesicherten Modus auswählst. Eventuell brauchst du ein paar Versuche.

Alternativ geht es auch so: Start/ausführen/"msconfig" eingeben/Boot.ini/Häkchen bei /safeboot reinmachen und dann neustarten
Den Haken musst du dann aber wieder rausnehmen, damit du wieder im normalen Modus starten kannst.

das mit f8 klappt nicht, das andere klappt nur komm ich dann nicht ins internet. es hängt vielleicht auch daran, dass ich mich nich so gut auskenne

Das ist schon ok so, dass du nicht ins Internet kommst. Du sollst ja im Abgesicherten Modus nur E-Scan ausführen, wie im Link erklärt, wenn du das gemacht hast, machst du das Häkchen wieder raus, startest ganz normal und machst ein Logfile mit Hijackthis.

http://www.hijackthis.de/hijackthis_198.zip

Einfach in einen eigenen Ordner entpacken, starten, dann Scan drücken und danach Save log. Dieses Log postest du dann hier, du kannst es dir auch auf

http://www.hijackthis.de/

schon mal vorläufig auswerten lassen.

so jetzt hab ichs:

Logfile of HijackThis v1.98.0
Scan saved at 04:33:02, on 02.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.com/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir...er=6.0&ar=home
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\YAHOO\Messenger\ycomp.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\3.bin\MWSBAR.DLL
O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programme\NavExcel\NavHelper\v2.0.4\NHelper.dll (file missing)
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\YAHOO\Messenger\ycomp.dll (file missing)
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1601.0\de\msntb.dll
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\3.bin\MWSBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {6EF3AE25-5A7D-40C2-9B44-9ED0068621C0} - (no file)
O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "D:\antivir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe
O4 - HKLM\..\Run: [Tsa] C:\PROGRA~1\COMMON~1\tsa\tsm.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\TINA\TROJANCHECK\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\Martina\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: PC Alert 4.lnk = C:\Programme\MSI\PC Alert 4\PCAlert4.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\AIM\aim.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\TINA\msn\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\TINA\msn\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/0531d87046e1b80...zip/RdxIE2.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O16 - DPF: {FE1A240F-B247-4E06-A600-30E28F5AF3A0} - http://toolbar2.globalwebsearch.com/winenc32.cab

Die automatische Auswertung deines Logfiles siehst du hier:

http://www.hijackthis.de/logfiles/68...0d9c8ff96.html

NavHelper kannst du zunächst mal normal deinstallieren, Anleitung findest du hier:

http://www.pestpatrol.com/PestInfo/n/navexcel.asp

Die anderen roten und gelben Einträge solltest du fixen, indem du den PC wieder im Abgesicherten Modus startest, und dann in HijackThis die entsprechenden Einträge markierst und auf "Fix" klickst. Danach wieder normal starten und das Problem ist hoffentlich behoben. Diese Websearch-Komponenten sind Ad-Aware, das heisst, ein anderes Programm, dass du installiert hast, ein Mediaplayer oder Screensaver o.ä., den du dir heruntergeladen hast, hat dies heimlich installiert, es kann passieren, dass dieser dann nicht mehr funktioniert, da solltest du dir dann eine Alternative suchen, möglichst von einer vertrauenswürdigen Seite. Auch einen Scan mit Ad-Aware http://www.lavasoftusa.com/software/adaware/ und Spybot http://beam.to/spybotsd solltest du anschliessend noch mal durchführen.
Dann solltest du eventuell überlegen, wie du dir die Viren eingefangen hast, eventuell den Browser wechseln, firefox, opera sind besser und sicherer als der IE und immer aufpassen, wo man etwas runterlädt oder welche emailanhänge man öffnet.

das hab ich jetzt gemacht im abgesicherten modus.

danach hat mir escan wieder 8 neue viren gemeldet. den navhelper krieg ich auch nicht weg. ich bin sehr unsicher.

Hast du mal adaware und spybot durchlaufen lassen? Weisst du noch, welche Viren wo gefunden wurden? Hattest du E-Scan demnach schon einmal laufen und jetzt sind zusätzliche neue Viren aufgetaucht?

hallo,

das war der navhelper. ich krieg sie aber nicht weg.