Bin echt am verzweifeln. Seit mehreren Stunden versuche ich diesen Trojanern vom Rechner zu bekommen, der die Startseite im IE verstellt. Hab alles versucht, wie das hier im Board beschrieben ist. Alle Programme laufen laßen, leider kein Erfolg.

Hier das Log-File:

Logfile of HijackThis v1.98.2
Scan saved at 16:58:33, on 09.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Creative\USB SBAudigy2 NX\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Visual TimeAnalyzer\tbaction.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Creative\MediaSource\Go\CTCMSGo.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Promise Technology, Inc\Promise Array Management\MsgSvr.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ZipGenius 5\zipgenius.exe
C:\DOKUME~1\Gamer\LOKALE~1\Temp\ZGTemp\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe

O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\USB SBAudigy2 NX\DVDAudio\CTDVDDet.EXE

O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [TBAction] C:\Programme\Visual TimeAnalyzer\tbaction.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ThrustTSR] C:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE

O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE

O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Programme\Creative\MediaSource\Go\CTCMSGo.exe /SCB

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: raid_tool.exe.lnk = C:\Programme\VIA\RAID\raid_tool.exe

O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm

O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll

Hab ich auch schon durch die automtische Erkennung laufen laßen, und 3 dieser Schlüssel gefixt, dennoch ist das Ding immer noch da.

Wenn mir jemand helfen könnte, wäre ich demjenigen sehr dankbar.

Gruß Steel

Hallo Steel und willkommen an Board,

sei bitte so nett und downloade eScan. Alles was Du dabei beachten musst, ist in diesem Thread bitte klicken erklärt. Wenn Du hier klickst, findest Du noch mehr Information zu diesem Thema.

Lass eScan im abgesicherten Modus [ c:/bases bitte beachten! ] Deinen Computer scannen und melde Dich dann wieder bei uns, mit einem neuen Logfile.

Viel Erfolg und lieben Gruss
SD

Hi Shadowdance,

vielen Dank für die nette Begrüßung. Mir ist beim Querlesen eh schon aufgefallen, wie freundlich hier alle sind, darauf dürft ihr stolz sein.

Ich habe eScan bevor ich dieses Logfile postete, bereits zweimal im abgesicherten Modus laufen lassen. Beim ersten Mal fand dieses Proggie "anscheinend" einen Virus in einer setup_freeware.zip (Weiß nicht mehr ganz genau wie der Dateinamen lautete, Fehler von mir, nicht aufgeschrieben und gleich gelöscht) und beim zweiten Mal nichts mehr.

Hijack this und die automatische Auswertung fand auch einen "Bösen" Schlüssel, den hab ich wie zwei andere gefixt. Dennoch findet Ad-aware 6.0 nach wie vor diesen "Browser hijack" und jedesmal nach dem in Quarantäne stellen, stellt sich im IE die Startseite um - ist das ein Bug von Ad-aware oder doch ein evtl. gefählicher Trojaner?

Jedenfalls Norton, Search&Destroy, cwshredder finden sonst nichts. Alles wie immer frisch upgedatet genauso wie alle "unsicheren" MS-Produkte.

Herzlichen Dank für die Aufmerksamkeit.

Gruß Steel

Hallo Steel,

danke ;-) Warum stellt sich die Startseite beim IE permanent um? Das weiss ich nicht. Du könntest dem Problem mit einem Browserwechsel entkommen. Es gibt Browser, die wesentlich sicherer sind als der IE, weniger anfällig und genauso schnell. Schau mal hier .

SD

Hi Shadowdance,

klar da hast Du absolut Recht. Normalerweise bin ich mit dem Firefox unterwegs, hat aber einen speziellen Grund warum ich im Moment den IE wieder nutze.

Hab gerade extra nochmal Ad-aware laufen laßen, beim fixen des "Browser Hijack" stellt sich die Startseite des IE auf

http://www.microsoft.com/isapi/redir...er=6.0&ar=home

um. Was mich da stutzig macht, ist diese lange URL, völlig unnötig um dann auf msn.de zu landen, das riecht einfach gefährlich.

Vielleicht weiß ja jemand Rat, herzlichen Dank wie immer im Voraus.

Gruß Steel

Hallo Steel,

bei dem Link, den ich Dir gab, um Dich über andere Browser zu informieren, gibt es mehr Tips als nur andere Browser. Auf dieser Seite der Trojaner-Info.de wird beschrieben, was man tun kann, um seinen Computer wirkungsvoll vor dem Browser-Hijacking zu schützen. Bitte sei so nett und geh auf diese Seite: Browser-Hijacking Vorbeugung. Du findest dort auch 2 Tools, die verwendet werden können, wenn ein Browserwechsel nicht möglich oder nicht gewünscht wird.

SD

Hi Shadowdance,

hast wieder Recht. Hab mir dieses Erkennungs-Proggie mal runtergeladen, hatte wirklich nicht alles gelesen. Aber nach Stunden kann es einen auch gewaltig nerven, dieses Ding nicht los zu werden und an allen Ecken, Enden und Googlen nicht die Lösung zu finden.

Werd mich jetzt auch noch ausloggen, als "Möchtegern-Admin" am Rechner zu surfen, war auch dämlich von mir und erst mal in der Benutzerverwaltung ein Surf-Konto einrichte.

Gruß und Danke Steel

Sodele, ich bin mir jetzt recht sicher, dass es sich im meinen Fall um einen Bug von Ad-aware 6.0 handelt.

Habe zwischenzeitlich einige Forenberichte im Netz nachgelesen und dort auch Bestätigungen hierfür gefunden.

Nun hab ich einen 100%-ig nicht verseuchten Rechner (nie im Netz) als Test benutzt und siehe da, die gleiche Meldung.

Nochmal herzlichen Dank an SD für die Hilfe.

Gruß Steel

Wenn möglich schicke bitte die Datei zu research@lavasoft.de und erklär, dass es sich hierbei um ein False Positive handelt.
Du kannst auch die Datei hier hochladen: http://www.lavasofthelp.com/submit/

Hallo Christian,

welche Datei meinst Du denn? Ich hab ja keine die ich hochladen könnte.

Ich hab mir schon überlegt, ob ich im Forum von lavasoft.com einen Thread aufmachen und ihn hierherüber verlinken bzw. dort den evtl. Bug bekannt machen soll. Aber möchte auch nicht überall damit "nerven".

Oder soll ich doch? - bin etwas unsicher

Gruß Steel