Hi Leute,

seitdem ich einige Viren (HEUR/MALWARE, TR/Crypt.XPACK.Gen, TR/Crypt.ULPM.Gen, WORM/Autorun.tca, etc.) auf meinem PC hatte, leitet mich Firefox (und MS Internetexplorer) auf teilweise dubiose Seiten.
Wenn ich z.B. auf Wikipedia.org will, dann lande ich z.B. auf ebay.de/search/wikipedia

Außerdem scheint mein PC dadurch ein beliebtes Angriffsziel für Viren aller Art zu sein, auch wenn ich schon alle gelöscht habe, ich glaube sie regenerieren sich wieder...

Also habe ich eine HijackThis Logfile angefertigt und hoffe auf Hilfe:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:21:05, on 19.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE
C:\Programme\Hotspot Shield\bin\openvpnas.exe
D:\Programme\Java\jre6\bin\jqs.exe
D:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7070
R3 - URLSearchHook: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Programme\free-downloads.net\tbfree.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Programme\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Programme\free-downloads.net\tbfree.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Programme\Hotspot Shield\hssie\HssIE.dll
O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Programme\free-downloads.net\tbfree.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NMSAccessU - Unknown owner - D:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/GIEBEL~1/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg
O24 - Desktop Component 1: (no name) - file:///C:/DOKUME~1/GIEBEL~1/LOKALE~1/Temp/msohtml1/01/clip_image001.jpg

--
End of file - 8510 bytes

Hi. Versuch mal, beim Firefox folgende Einstellung: Extras / Einstellungen / Erweitert / ein häckchen, bei Warnen wenn websites umleiten...
gruß.
p.s.C:\WINDOWS\system32\wuauclt.exe ist übrigens auch ein trojaner, den du nur über den abgesicherten Modus entfernen Kannst.

"Einmisch" :

Zitat:

p.s.C:\WINDOWS\system32\wuauclt.exe ist übrigens auch ein trojaner, den du nur über den abgesicherten Modus entfernen Kannst.

Falsch. Die WINDOWS\system32\wuauclt.exe ist ein Systemprozess, der automatisch nach Windows- Updates sucht.

"Ausmisch" und Gruß

Jaipur

Zitat:

Zitat von Antiker

Hi. Versuch mal, beim Firefox folgende Einstellung: Extras / Einstellungen / Erweitert / ein häckchen, bei Warnen wenn websites umleiten...
gruß.



p.s.C:\WINDOWS\system32\wuauclt.exe ist übrigens auch ein trojaner, den du nur über den abgesicherten Modus entfernen Kannst.

Danke für den heißen Tipp: Dieser Trojaner scheint ein Meisterstück des Programmierers zu sein, denn:

1.: AntiVir hat diese Datei im Safemode nicht als Virus erkannt

2.: Der Name ist so raffiniert gewählt, dass ich jetzt nicht weiß, ob ich andere Dateien wie wuauclt1 (mit XP-Symbol und Globus dahinter als Dateisymbol), wuaucpl (beide ohne Dateiendungen) mitlöschen soll

3.: Wird die manuelle Löschung von wuauclt und vielleicht auch der anderen Dateien die endgültige Befreiung bringen?

PS.: Alle genannten Dateien befinden sich auf C:/Windows/System32/

Zitat:

Zitat von Jaipur

"Einmisch" :



Falsch. Die WINDOWS\system32\wuauclt.exe ist ein Systemprozess, der automatisch nach Windows- Updates sucht.

"Ausmisch" und Gruß

Jaipur

OK, das dreht den Spieß wieder komplett um

Fällt jemandem sonst noch etwas an meiner Logfile auf?

Wenn nicht, dann denke ich, könnte das Problem durch die Firefox Konfiguration behoben werden

...aber ich mache mir immer noch Sorgen, dass die Viren wieder auf meinem PC ein Virenfestival veranstalten, sobald ich mich mit dem Internet verbinde...

Hallo pinguin007,

Zitat:

O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/GIEBEL~1/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg
O24 - Desktop Component 1: (no name) - file:///C:/DOKUME~1/GIEBEL~1/LOKALE~1/Temp/msohtml1/01/clip_image001.jpg

Was ist das, wofür brauchst Du das und wo hast Du das her? Selbstgemachte Bilder?

Zitat:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=localhost:7070

Hast Du den Proxy selber eingerichtet und wenn ja wofür brauchst Du ihn?

Führe einen vollständigen Scan mit Malwarebytes durch und poste das Ergebnis.

Gruß

Jaipur

Zitat:

Zitat von Jaipur

Hallo pinguin007,



Was ist das, wofür brauchst Du das und wo hast Du das her? Selbstgemachte Bilder?



Hast Du den Proxy selber eingerichtet und wenn ja wofür brauchst Du ihn?

Führe einen vollständigen Scan mit Malwarebytes durch und poste das Ergebnis.

Gruß

Jaipur

1. Ja Bilder bearbeiten, verändern, etc. das mache ich manchmal (Paint, IrfanView), aber ich weiß auch nicht genau, was das ist, ich werde nachschauen...

2. OK, das mit dem Proxy Server war eine ziemlich dumme Sache:
Ich habe Firefox zurückgesetzt und dann hieß es "der Proxy Server weist Ihre Anfrage zurück", darauf hab ich irgendwas bzgl. Proxy konfiguriert um so das Problem zu lösen, aber jetzt hab ich alles wieder im Griff, nachdem ich den Tipp erhalten habe, dass ich auf "Kein Proxy" zurückstellen soll

3. Also Malwarebytes hab ich zwar nicht, aber ich werde es sofort herunterladen und am infizierten Rechner ausführen...

Oder auch nicht:

1. Ich kann den Malwarebytes Installer zwar hier an diesem PC starten, aber nicht am infizierten PC

2. Ich kann auch Spybot - Search & Destroy nicht mehr starten

Zitat:

1. Ich kann den Malwarebytes Installer zwar hier an diesem PC starten, aber nicht am infizierten PC

Wird eine Fehlermeldung angezeigt? Wenn ja welche?

Versuche es alternativ mit http://www.trojaner-board.de/51871-a...tispyware.html

Spybot - Search & Destroy ist veraltet. Würde ich deinstallieren. Dies nur als Tip nebenbei.

Gruß

Jaipur

Zitat:

Zitat von Jaipur

Wird eine Fehlermeldung angezeigt? Wenn ja welche?

Versuche es alternativ mit http://www.trojaner-board.de/51871-a...tispyware.html

Spybot - Search & Destroy ist veraltet. Würde ich deinstallieren. Dies nur als Tip nebenbei.

Gruß

Jaipur

1. Es wird keine Fehlermeldung angezeigt, es lädt zuerst ein bisschen, aber das war es dann auch schon

2. Ok, ich werde es mal mit SUPERAntiSpyware versuchen und heute Abend die Logfile posten...

3. Schade eigentlich, ich habe Spybot sehr gemocht... hoffentlich kann
SuperAntiSpyware ebenso überzeugen wie Spybot

"zurückgruß"

puinguin007

PS: Ich benutze nebei auch Ad-Aware, das sollte ich dann wohl auch deinstallieren, oder?

Hallo und

Zitat:

Ich benutze nebei auch Ad-Aware, das sollte ich dann wohl auch deinstallieren, oder?

Besser ist das.

GMER - Rootkit Detection

• Lade Tralala von File-Upload.net - Tralala.exe
• Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
• Doppelklick auf Tralala.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. File-Upload.net hoch und poste den Link.
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

@ john.doe: Ok ich probiere es mal mit tralala.exe und lade dann die Logfile hoch

@ Jaipur: Superantispyware funktioniert nicht, genauso wie MalwareBytes, nur mit dem Unterschied, dass ich bei SUPERAntiSpyware auf Lokale Einstellungen/Temp/89f4_appcompat.txt verwiesen werde

Und hier ist die Logfile: Es wurden sofort verdächtige Rootkits erkannt!

File-Upload.net - Log.log

Ja, zu viele. Die Hälfte deiner Programme ist schon befallen. Verloren.

Sichere deine Daten, keine Programme!

http://www.trojaner-board.de/51262-a...sicherung.html

sorry, andreas

Schade, dass alles futsch ist, aber man soll die Wahrheit nicht leugnen... Danke für die Beteiligung am Problem @all

Gruß
pinguin007

PS: @john.doe: Kannst du mir zum Abschluss noch Programme empfehlen, damit mir so etwas möglichst nie wieder passiert? Danke im Vorraus