Hallo,

habe genau die gleichen Probleme mit Firefox, wie schon von anderen hier erwähnt.
Bisher gab es nie Probleme, doch seit einigen Tagen werden immer ohne mein Zutun Werbeseiten für Quelle, Neckermann, Vodafone usw. geöffnet.
Leider bin ich mit den Tiefen meines PCs nicht so vertraut. D.h. ich kann kein HJ-Log editieren, weil ich nicht weiß, was das ist!

Ich arbeite mit Windows XP, falls diese Info wichtig ist.

Kann mir jemand erklären, was ich machen muß, sozusagen eine Erklärung für "Doofe"???

Das wäre ganz lieb!

LG
Vunana

Hallo!

Arbeite bitte folgende Punkte ab:

1. Systemwiderherstellung abschalten unter Systemsteuerung/System/
2. Lade dir Spybot S&D runter und installire es: http:
//www.spybot.de
3. Scanne dein System und und poste das Scanergebnis hir.
4. lade dir Malwarebytes runter und installire: Malwarebytes.org
5. Scanne dein System und und poste das Scanergebnis hir.
6. Warte auf Antwort

Hallo und Danke für die schnelle Antwort!
Ich weiß nicht so genau, wie ich die gescannten Ergebnisse hier posten kann.
Hab sie mal als Screenshot in Word abgespeichert. Ist aber wahrscheinlich nicht richtig so, oder?
Danke
Vunana

Okay, einen Teil kann ich hier schon mal posten, der Rest folgt morgen.

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1503
Windows 5.1.2600 Service Pack 3

15.12.2008 22:52:03
mbam-log-2008-12-15 (22-51-57).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 55024
Laufzeit: 4 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 4
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\WebMediaPlayer (Rogue.WebMediaPlayer) -> No action taken.
C:\Programme\WebMediaPlayer\resources (Rogue.WebMediaPlayer) -> No action taken.
C:\Programme\WebMediaPlayer\skins (Rogue.WebMediaPlayer) -> No action taken.
C:\Programme\WebMediaPlayer\updates (Rogue.WebMediaPlayer) -> No action taken.

Infizierte Dateien:
C:\Programme\WebMediaPlayer\sqlite3.dll (Rogue.WebMediaPlayer) -> No action taken.
C:\Programme\WebMediaPlayer\WebMediaPlayer.exe (Rogue.WebMediaPlayer) -> No action taken.
C:\Programme\WebMediaPlayer\resources\wmp_translation_file.xml (Rogue.WebMediaPlayer) -> No action taken.
C:\Programme\WebMediaPlayer\skins\classic.skn (Rogue.WebMediaPlayer) -> No action taken.

Sorry, aber jetzt habe ich es doch geschafft.
Hier also der zweite Scan:

--- Report generated: 2008-12-15 23:05 ---

Advertising.com: Verfolgender Cookie (Internet Explorer: Lang) (Cookie, nothing done)

Avenue A, Inc.: Verfolgender Cookie (Internet Explorer: Lang) (Cookie, nothing done)

DoubleClick: Verfolgender Cookie (Internet Explorer: Lang) (Cookie, nothing done)

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1482476501-776561741-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

MagicControl.Agent: Benutzer-Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1482476501-776561741-725345543-1004\Software\LanConfig


--- Spybot - Search && Destroy version: 1.3 ---
2004-05-12 Includes\Cookies.sbi
2004-05-12 Includes\Dialer.sbi
2004-05-12 Includes\Hijackers.sbi
2004-05-12 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-05-12 Includes\Malware.sbi
2004-05-12 Includes\Revision.sbi
2004-05-12 Includes\Security.sbi
2004-05-12 Includes\Spybots.sbi
2004-05-12 Includes\Tracks.uti
2004-05-12 Includes\Trojans.sbi


Bin gespannt auf Eure Antwort!

LG
Vunana

Hallo,

ich weiß leider nicht so genau, ob ich die richtigen Dinge hier gepostet habe, da ich mich nicht so gut auskenne. Soll ich noch andere Sachen scannen bzw. durchlaufen lassen und die Ergebnisse hier posten?

Vielen Dank für Eure Hilfe!
Vunana

Hallo @TR-Vundo: Sry das ich mich hier einmische, da du aber bisher noch nicht gepostest hast schreib ich einfach mal was :P
@Vunana: Ich bin keiner der Profis, seit meinem letzten Virus hab ich mich allerdings ein wenig mehr damit beschäftigt^^

Also 1. Wie man schon an dem Titel des Forums sehen kann:
"Hijacker / HiJackThis Logs posten" - Mach das doch erstmal
Anleitung: http://www.trojaner-board.de/51130-a...ijackthis.html

2. Beide Scans haben das löschen nicht durchgeführt. Bei dem Spybot weiß ich nicht wies geht, bei Malwarebytes Anti Maleware, lies bitte ein wenig gründlicher die Anleitung:

http://www.trojaner-board.de/51187-a...i-malware.html

Dort steht drin wie man die gefundenen Einträge löschen kann, danach wird noch eine Logfile erstellt, diese dann bitte posten.

(Bei den Log-Datein bitte auf die Formatierung achten: http://www.trojaner-board.de/22770-a...log-files.html )

edit: Anleitungen zurückgezogen. Zu viele Köche verderben den Brei.

Danke für die schnelle Antwort.
Hier also als ersten richtigen Schritt der Bericht von Anti-Malware. Ich hoffe, daß es diesmal richtig so ist!

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1513
Windows 5.1.2600 Service Pack 3
18.12.2008 15:43:00
mbam-log-2008-12-18 (15-43-00).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 128200
Laufzeit: 44 minute(s), 36 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 4
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
C:\Programme\WebMediaPlayer (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\resources (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\skins (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\updates (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\WebMediaPlayer\sqlite3.dll (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\WebMediaPlayer.exe (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\resources\wmp_translation_file.xml (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\skins\classic.skn (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.

Sieht das jetzt schon besser aus?

LG
Vunana

Joa scheint als wäre alles was er gefunden hat runter. Könntest du noch eine Log mit HijackThis erstellen?

http://www.trojaner-board.de/51130-a...ijackthis.html
http://www.trojaner-board.de/22770-a...log-files.html


Edit: Für den Spyware S&D: http://www.safer-networking.org/de/tutorial/index.html Dort ist noch eine Anleitung

Hallo Mainclain,

hier also noch eine Log HiJackThis. Haber noch nichts gelöscht oder so, sondern nur das Ergebnis kopiert für Euch:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:42:12, on 18.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\T-Com\T-DSLS~1\SMARTB~1\Smartbridge.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\COMODO\Firewall\cfp.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TomTom HOME 2\HOMERunner.exe
C:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\qbewzdg.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\T-Com\T-DSL Support Center\bin\TDSLSupportCenter.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\T-Com\T-DSL Support Center\bin\mpbtn.exe
C:\PROGRA~1\Motive\ASSTCO~1\MOTIVE~1.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***p://mystart.incredimail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h***p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h***p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h***p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h***p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\T-Com\T-DSLS~1\SMARTB~1\Smartbridge.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKCU\..\Run: [NBJ] "C:\PROGRA~1\Ahead\NEROBA~1\NBJ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [qbewzdg] "c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\qbewzdg.exe" qbewzdg
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: T-DSL Support Center.lnk = C:\Programme\T-Com\T-DSL Support Center\bin\matcli.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Post Image to Blog - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5003
O8 - Extra context menu item: Tag This Image - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5002
O8 - Extra context menu item: Upload All Images to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5000
O8 - Extra context menu item: Upload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5001
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {1E5BE467-472C-44A8-ABE9-DAF0BF5F7548} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {1E5BE467-472C-44A8-ABE9-DAF0BF5F7548} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O15 - Trusted Zone: http://toolbar.imageshack.us
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h***p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - h***p://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - h***p://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h***s://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs:
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\Firewall\cmdagent.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

--
End of file - 10289 bytes

Sorry, aber leider habe ich das mit den Code Tags nicht verstanden. Ich hoffe, Ihr könnt dennoch was damit anfangen und habt nicht allzu viel Arbeit!

Nochmals vielen tausend Dank!

Vunana

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA

[/edit]

@Dilias 88: Bitte eröffne doch dein eigenen Thread dafür // Okay sry wurde ja schon geändert^^




Huhu
Also 1. Wegen den Code-Tags:
Du hättest einfach [*Code]DeinLog[/*Code]
schreiben müssen, dadurch hätte das Forum deine Log in eine Box geschrieben – Aber das macht ja nichts (die sterne müssten natürlich weg, die hab ich nur gemacht, damit er das nicht gleich umwandelt^^)

und nun deine Log:
1. Schmeiß dein Java runter und downloade dir die neue Java-Version. Alte Versionen sind immer ein Sicherheitsrisiko.

2. Kennst du die Datei:
C:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\qbewzdg.exe
-> Lad die datei bitte bei www.virustotal.com hoch und schreibe das komplette ergebnis

und diese hier (die scheint aber ungefährlich zu sein…)
C:\Programme\T-Com\T-DSL Support Center\bin\TDSLSupportCenter.exe



3. Diese Einträge in HijackThis mackieren und Fixen: (Wenn du einen dieser einträge kennst, brauchst du das nicht)

Code: Alles auswählenAufklappen

ATTFilter

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***p://mystart.incredimail.com/

O4 - HKCU\..\Run: [qbewzdg] "c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\qbewzdg.exe" qbewzdg

O20 - AppInit_DLLs:
         

Nun kommen wir zum löschen der oben genannten datei:

Zitat:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\qbewzdg.exe
         

-> Vergiss hier nicht den Richtigen Pfad (XXX) wieder einzufügen.

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hallo Mainclain,

danke für die vielen Tips.
Ich habe also erfolgreich das neue JAVA installiert und das Ergebnis der komischen Datei bei den Anwendungsdaten kommt hier. Aber ich weiß nicht, ob ich das alles hier ´reinkopieren soll. Mache es einfach mal. Der dritte Schritt folgt dann morgen.

Also:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.19.3 2008.12.19 -
AntiVir 7.9.0.45 2008.12.19 -
Authentium 5.1.0.4 2008.12.20 -
Avast 4.8.1281.0 2008.12.19 -
AVG 8.0.0.199 2008.12.19 -
BitDefender 7.2 2008.12.20 -
CAT-QuickHeal 10.00 2008.12.20 -
ClamAV 0.94.1 2008.12.20 -
Comodo 781 2008.12.19 -
DrWeb 4.44.0.09170 2008.12.20 -
eSafe 7.0.17.0 2008.12.18 -
eTrust-Vet 31.6.6269 2008.12.19 -
Ewido 4.0 2008.12.20 -
F-Prot 4.4.4.56 2008.12.19 -
Fortinet 3.117.0.0 2008.12.20 -
GData 19 2008.12.20 -
Ikarus T3.1.1.45.0 2008.12.20 -
K7AntiVirus 7.10.559 2008.12.19 -
Kaspersky 7.0.0.125 2008.12.20 -
McAfee 5469 2008.12.19 -
McAfee+Artemis 5469 2008.12.19 -
Microsoft 1.4205 2008.12.20 Trojan:Win32/Skintrim.gen!D
NOD32 3708 2008.12.20 -
Norman 5.80.02 2008.12.19 -
Panda 9.0.0.4 2008.12.20 -
PCTools 4.4.2.0 2008.12.19 -
Prevx1 V2 2008.12.20 Adware
Rising 21.08.52.00 2008.12.20 -
SecureWeb-Gateway 6.7.6 2008.12.19 Trojan.LooksLike.Dropper
Sophos 4.37.0 2008.12.20 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.20 -
TheHacker 6.3.1.4.193 2008.12.19 -
TrendMicro 8.700.0.1004 2008.12.19 -
VBA32 3.12.8.10 2008.12.20 -
ViRobot 2008.12.20.1528 2008.12.20 -
VirusBuster 4.5.11.0 2008.12.19 -
weitere Informationen
File size: 262144 bytes
MD5...: 9c0e8c151a35f9eef34599d7ce6590e0
SHA1..: 0df3ef27bc1e6160c709a58be42f7ca367869ce2
SHA256: 842f550987961573ccc622f9887043fdb5b24802047649930f331adf55263ea8
SHA512: 281b95e85c67b1fd8edb3f4d8cb368b4bed3ff15d39c28cd903dd247c1bf2be7
126380b7c8b197ad5835d90efb14e857ae81fe14c9deb96c8b3e8d996bdeb8ef
ssdeep: 6144:El1Wv7QRVQOaR5uNGw9Lrl5pwYuWvFHoHn5hr7Y3H378R:FT+QOMuhLr+Yu
Wv0r7A7
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x43bc52
timedatestamp.....: 0x47d58ff0 (Mon Mar 10 19:45:52 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3adec 0x3b000 7.42 1ce5e7275c431185ef74cf878c2f164d
.rdata 0x3c000 0x11c8 0x2000 3.70 1a5f4b40998ee113e434e9e080c457b0
.data 0x3e000 0x15cc 0x2000 4.35 28ec506b9aacd9ce3cf40712eb0bfea5

( 10 imports )
> ole32.dll: CoDisconnectObject, StgSetTimes, OleConvertIStorageToOLESTREAM
> KERNEL32.dll: GetBinaryTypeW, GetFileInformationByHandle, SetCurrentDirectoryA, lstrcpynA, lstrcatW, GetLocaleInfoW, GetStartupInfoA, EnumDateFormatsW, GetSystemDefaultLangID, SetThreadLocale, ExpandEnvironmentStringsW, GetDateFormatA, lstrcmpiA, GetBinaryTypeA, InitializeCriticalSection, GetComputerNameW, SetNamedPipeHandleState, ScrollConsoleScreenBufferA, lstrcpyA, WriteConsoleOutputW, CreateMutexA, GetEnvironmentStringsW, GetTapeParameters, CancelIo, SetHandleCount, VirtualAlloc, GetModuleHandleA, OpenMutexA
> OLEAUT32.dll: -, -, -, -, -, -, -
> GDI32.dll: FillPath, GetCurrentPositionEx, GetCurrentObject
> USER32.dll: IsCharAlphaNumericW, SetClipboardViewer, CharNextExA, CreateDialogIndirectParamA, SetWinEventHook, SystemParametersInfoA, LoadImageA, WinHelpA, RegisterClipboardFormatA, SetClassLongA, CreateCaret, GetCursor, DrawIcon, SetClipboardData, SetWindowLongA, SendMessageCallbackW, DrawAnimatedRects, CopyImage, TrackPopupMenuEx, LoadStringW, EnumChildWindows, OpenWindowStationA, EnumWindowStationsA, DefWindowProcA, SendDlgItemMessageW, ShowWindow, DialogBoxParamA, SetThreadDesktop, GetMessageW, GetClassNameW, TabbedTextOutW, OpenClipboard, SendMessageTimeoutA, SetCapture, ValidateRgn, LoadAcceleratorsA, TrackMouseEvent, IsCharAlphaNumericA, MessageBeep, CreateWindowExA, GetSystemMenu, InvertRect, GetCapture, PostThreadMessageA
> COMCTL32.dll: ImageList_EndDrag, CreatePropertySheetPageW
> VERSION.dll: VerQueryValueA, GetFileVersionInfoSizeA, VerInstallFileA
> ADVAPI32.dll: LookupAccountSidW, QueryServiceStatus, CreateProcessAsUserW, GetSecurityDescriptorControl, CryptAcquireContextW, LogonUserA, GetNamedSecurityInfoA, RegGetKeySecurity, LookupAccountNameA, BuildTrusteeWithSidW, CryptGetHashParam, RegConnectRegistryA, RegQueryValueW, RegQueryValueA, RegOpenKeyA, OpenSCManagerA, CryptImportKey, InitiateSystemShutdownW, GetSecurityDescriptorDacl, GetServiceKeyNameW, CryptSetKeyParam, LookupAccountSidA, CryptGenRandom, GetFileSecurityW, GetFileSecurityA, CloseEventLog, SetThreadToken, NotifyBootConfigStatus, IsValidAcl, ReadEventLogW, BuildSecurityDescriptorW, RegCreateKeyW, CreatePrivateObjectSecurity, CopySid, EnumDependentServicesA, QueryServiceLockStatusW, StartServiceCtrlDispatcherW, GetPrivateObjectSecurity, OpenThreadToken, LookupPrivilegeDisplayNameA
> SHELL32.dll: SHGetDesktopFolder, SHFileOperationA
> MSVCRT.dll: atoi, _mbschr, strerror, isupper, _wcsupr, __p__fmode, isprint, _wfullpath, _beginthread, toupper, _finite, _wcsnicmp, _mbsnbcat, _strcmpi, _controlfp, _except_handler3, __set_app_type, _mkdir, _exit, _XcptFilter, exit, _acmdln, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, _getdrive

( 0 exports )
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=B51E07D2000716F400A1042C5A1E50002DBBAF41' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=B51E07D2000716F400A1042C5A1E50002DBBAF41</a>

Und hier noch gleich das von T-DSL:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
FileAdvisor - - -
Fortinet - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - BlockReason.0
weitere Informationen
MD5: 9b2332826bf6e20a85b5544c48929e3d
SHA1: a4b4047ccbf651e135500be1fd2b0265fc575f21
SHA256: 8acb8aa082735ea0a95460eebfbf362dffc0d99f81a3a7dc4f438b40a9694f21
SHA512: f180c27fbed2e5a061580966cf9af4ee28e179c5a2223fb7f9cc14fd59c563ca87dbbf306c6f075539d362c8395859eab962d75e018c4dc2603118e8b9b9e7d3

Für mich liest sich das alles höchst seltsam, aber Ihr könnt ja damit viel anfangen. BIn gespannt auf das Ergebnis!

Vielen Dank für Eure Hilfe!

Vunana

Beim 1. wurde was gefunden - Also bitte wie oben beschrieben mit Avanger löschen.
Danach kannst du ja nochmal eine HijackThis Log posten.