Hallo,

ich möchte hier mein Problem mit allen bisher unternommenen Gegenmaßnahmen beschreiben, sodaß mir ein Experte bestätigen kann, ob ich den Hijacker und/oder Trojaner nun endgültig los bin oder nicht.

Vorgestern abend wurde ich plötzlich auf eine "searching for..." benannte Internetseite umgeleitet, sobald ich eine neue Seite im Internet Explorer öffnete. Die Adresse blieb allerdings bei "about:blank" stehen (meine Voreinstellung). Dazu öffnete sich ein Popupfenster mit der Meldung, daß mein PC nun mit Spyware infiziert sei.

Daraufhin habe ich die mir bekannten Anti-Spyware-Programme von einer CD aus installiert und nach den entsprechenden Updates ausgeführt. Es sind dies: Ad-Aware, SpyBot Search& Destroy und Spy Sweeper. Diese Programme fanden nun verschiedene Malware und entfernten sie (laut Angabe) vollständig von meinem Rechner. Allerdings war das Problem damit keinesfalls behoben. Bei jeder neu geöffneten Seite wurde ich wieder umgeleitet und die Anti-Programme fanden, sooft ich sie ausführte, immer wieder dieselbe Malware. Daraufhin startete ich das CWShredder-Programm, womit das Problem tatsächlich behoben schien.

Allerdings hatte ich mich zu früh gefreut, denn obschon ich nun nicht mehr umgeleitet wurde, arbeitete mein Rechner am folgenden Morgen etwa 10 bis 20 mal langsamer als gewöhnlich, und zwar sowohl on- wie auch offline. Das Öffnen eines Ordners im normalen Windows-Explorer dauerte z.B. über eine Minute und auch das kleinste Programm ließ sich fast gar nicht mehr öffnen. Als ich den Rechner am Abend wieder hochfuhr, arbeitete er plötzlich wieder mit normaler Geschwindigkeit, aber zu meinem Schrecken war nun wieder die Umleitung aktiv. Auch das bekannte Popup-Fenster meldete sich wieder. Daraufhin habe ich das CWShredder-Programm erneut ausgeführt und fand auch wieder die gleichen Bösewichter. Danach arbeitete der PC wie gehabt wieder in Zeitlupe.

Heute morgen habe ich dann im abgesicherten Windows-Modus mehrere Antivirusprogramme suchen lassen (Norton und Kaspersky), die allerdings nichts fanden. Wie gestern arbeitete der PC im Normalmodus weiterhin entsetzlich langsam. Nun wurde ich auf die "trojaner-info.de"-Seite aufmerksam und versuchte es mit dem SpHjfix-Programm.

Hier die von SpHjfix hergestellte Logdatei:
16.07.04 15:09:59 SPhjFix started v1.07
16.07.04 15:09:59 Stealth-String found: C:\WINDOWS\SYSTEM\LOG.DLL
16.07.04 15:10:01 Restart
16.07.04 15:14:48 2nd Step
16.07.04 15:14:49 Hijack-DLL: C:\WINDOWS\SYSTEM\LOG.DLL (deleted)
16.07.04 15:14:49 BHO-DLL: (not found)
16.07.04 15:14:49 Bad IE-pages found:
16.07.04 15:14:56 Cleaned

Nach dem Neustart habe ich das CWShredder-Programm, wie empfohlen, erneut ausgeführt, diesmal fand es aber nichts mehr. (Könnte das daran liegen, daß ich, wie gesagt, den CWShredder vor dem SpHjfix bereits zweimal ausgeführt hatte?) Das Problem scheint nun behoben.

Um ganz sicherzuzgehen habe ich aber mit HijackThis diese Logdatei abgespeichert, und bitte nun einen Experten um Hilfe. Über jeden Ratschlag würde ich mich sehr freuen. Vielen Dank im voraus!

Logfile of HijackThis v1.98.0
Scan saved at 18:30:00, on 16.07.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY PROFESSIONAL\NISUM.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY PROFESSIONAL\CCPXYSVC.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAMME\LOGITECH\KEY COMMANDER\COMMANDR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\SCANSOFT\OMNIPAGEPRO12.0\OPWARE12.EXE
C:\SBPCI\CTMIX32.EXE
C:\PROGRAMME\CREATIVE\MEDIASOURCE\REMOTECONTROL\RCMAN.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\EIGENE DATEIEN\DIENSTPROGRAMME\HIJACKTHIS.EXE

O1 - Hosts: 203.161.127.141 www.dcsresearch.com
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [Browser Launcher] C:\PROGRA~1\LOGITECH\KEYCOM~1\Commandr.EXE /HIDDEN
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [hpppta] C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan\hpppta.exe /ICON
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Opware12] "C:\Programme\ScanSoft\OmniPagePro12.0\Opware12.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [BCDetect] C:\WINDOWS\SYSTEM\bcdetect.exe defer
O4 - HKLM\..\RunServices: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [Nisum] C:\Programme\Norton Internet Security Professional\NISUM.EXE
O4 - HKLM\..\RunServices: [ccPxySvc] C:\PROGRA~1\NORTON~2\CCPXYSVC.EXE
O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Start GetRight.lnk = C:\Programme\GetRight\getright.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Copernic - {2A465936-E5F0-11D2-91B5-00104B9C4765} - C:\Programme\Copernic 2001 Basic\Copernic.exe
O9 - Extra button: (no name) - {2A465934-E5F0-11D2-91B5-00104B9C4765} - C:\Programme\Copernic 2001 Basic\Copernic.exe
O9 - Extra 'Tools' menuitem: Launch Copernic 2001 - {2A465934-E5F0-11D2-91B5-00104B9C4765} - C:\Programme\Copernic 2001 Basic\Copernic.exe
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab
O16 - DPF: EPT Applet - https://www.ccp-connect.lu/exbanking.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/144637afa5eafcb...p/RdxIE601.cab

Lasse dein Log automatisch hier mal testen => www.hijackthis.de

hast du wirklich eine Bankverbindung nach Luxemburg? => ccp-connect.lu

Ja, die Luxemburger Bankverbindung stimmt! Ist aber nicht ungewöhnlich, denn ich bin ja Luxemburger. Sollte dieser Eintrag trotzdem, der Sicherheit halber, gefixt werden?

Hier die bei der automatischen Auswertung erkannten Probleme!
Ist da was Böses drunter?

O1 - Hosts: 203.161.127.141 www.dcsresearch.com
Eventuell Böse Unbekannt bzw. nicht selbst vorgenommene Einträge in der Datei HOSTS sollten gefixt werden. Nicht bekannte URL's entfernen!

O4 - HKLM\..\RunServices: [ccPxySvc] C:\PROGRA~1\NORTON~2\CCPXYSVC.EXE
Unbekannt Zum eingegebenen Programm ccPxySvc haben wir folgendes Programm gefunden: Kein. Trefferquote: 0,00 % (Resultate) Nicht bekanntes Programm.

O9 - Extra button: (no name) - {2A465934-E5F0-11D2-91B5-00104B9C4765} - C:\Programme\Copernic 2001 B
Eventuell Böse Unbekannte Buttons oder Einträge im Menü 'Extras' immer mit HijackThis fixen. Wenn der Eintrag '' nicht bekannt ist, fixen!

O16 - DPF: EPT Applet - https://www.ccp-connect.lu/exbanking.cab
Eventuell Böse Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden! Prüfen ob Sie diese Seite kennen und ggf. fixen.

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/144637afa5eaf
Eventuell Böse Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden! Prüfen ob Sie diese Seite kennen und ggf. fixen.

Du fragst im Ernst?
Was meinst Du warum ich nach der Luxemburg-Bank gefragt habe?
Obwohl die ist zur Zeit nicht zu erreichen.

Es gibt jetzt zwei Möglichkeiten:
Entweder fixed Du die als möglicherweise kritisch ausgegebenen Punkte, außer sie sind Dir als GUTARTIG bekannt oder Du googlest mal selber nach.
Ich google jedenfalls nicht alles nach.
207.188.7.150 ist übrigens von Real.com, aber IMHO nicht nötig also fixen.
Die Bank wenn es nicht DEINE Bank ist und die Domain 100% stimmt, auch fixen
Copernic => Google mal nach, wenn Du nicht weißt was Du so installiert hast.
(ich bräuchte es nicht, dürfte sich aber darum handeln => http://www.pctip.ch/downloads/dl/14971.asp

CCPXYSVC => Google sagt ist Teil von Norton Personal Firewall, hast Du die Norton PF ist es wohl okay


www.dcsresearch.com => schau mal da: http://www.wilderssecurity.com/showthread.php?t=25715 (wenn Du leidlich Englisch kannst)

Vielen Dank für die Hinweise!

Habe nun alles gefixt, soweit es sich nicht um Bekanntes handelte.
Wenn HijackThis nun nichts mehr findet, kann ich dann vollkommen sicher sein, daß wieder alles in Ordnung ist? Welche Art von Trojaner/Hijacker hatte sich denn eigentlich eingenistet?

Viele Grüße!

Zitat:

Zitat von cicero

Habe nun alles gefixt, soweit es sich nicht um Bekanntes handelte.
Wenn HijackThis nun nichts mehr findet, kann ich dann vollkommen sicher sein, daß wieder alles in Ordnung ist?

Nein leider nicht. Es gibt immer die Chance das eine Malware nicht erkannt wird. Aber es besteht Hoffnung.
Du kannst ja auch mal zusätzlich mit einem anderen Antivirenprogrammen einen Onlinescan machen.
http://de.bitdefender.com/scan/licence.html
http://de.trendmicro-europe.com/ente...secall_pre.php
http://www.ravantivirus.com/scan/indexie.php

Meine Sig hast Du ja schon durch