Ich hab mir jetzt einen äußerst merkwürdigen Trojaner oder Wurm eingefangen:
Ich kann mich praktisch beliebig im Internet Surfen, ohne Probleme, wie gewohnt. Nur die folgenden Seiten zeigt er mir nicht mehr an, wenn ich sie besuchen will:
www.symantec.com
www.sophos.com
www.mcafee.com
www.trendmicro.com
Na, klingelt's? Das sind alles Seiten von Anbietern von Antiviren-Software. Aber mir wird immer nur das Fenster: 'Es sind technische Schwierigkeiten aufgetreten' angezeigt, und zwar nur und ausgerechnet bei diesen Seiten. Im unteren Bereich der Fehlermeldepage befinden sich mehrere Spalten mit Gruppierten Links (Health-Business bla bla), was auch etwas merkwürdig ist für eine Fehlermeldepage. Ich hatte schon einmal einen perfectnavigation Plagegeist, und hab denn auch nie ganz weggekriegt, er schaltet sich in letzter Zeit halt nur wesentlich seltener als früher ein.

Ich habe eine der folgenden Dateien in Verdacht, für meine Misere verantwortlich zu sein (alle im Windows\System32 Ordner):

xsufa.exe
jawafo.dll
wnsapiit.exe
uvnbcycw.exe
netvk.exe
netvk.dll

Weil das sind die Dateien die sich seit gestern, als das alles anfing, im System32 Ordner angesiedelt haben.

Wenn ich mir vom Task-Manager die laufenden Prozesse anzeigen lasse, kommen mir ausserdem auch noch diese Prozesse besonders verdächtig vor:

ntmk32.exe

syslz.exe (Ich glaube das ist der Wurm höchstpersönlich, ich kann ihn aber
nirgendwo in den Systemordnern finden, und leider liefert Google kein einziges
Suchergebnis für diesen Begriff.
Ich habe diesen Prozess stark im Verdacht, dafür verantwortlich zu sein,
dass er mir about:blank als Startseite aufzwingt, und dass er mich mit 50-
prozentiger Wahrscheinlichkeit beim Klicken auf einen Link im Web auf die
www.search-to-find.com Website umleitet)

sdkzp32.exe (ist mir auch nicht ganz geheuer)

und gegen msbb.exe ist man eh machtlos. Ich frag mich manchmal, wofür ich mir mit Norton 2004 einen laut Verkäufer ausgezeichneten, relativ teuren Virenfinder gekauft habe, weil der weder was findet geschweige denn gegen die ganzen Viren und Spywares irgendetwas tut.

Falls euch ein paar der Dateien oder Prozesse von oben auch schon einmal negativ aufgefallen sind, bin ich für jede Hilfe bzgl ihrer Bekämpfung sehr dankbar (Tja, und seit einiger Zeit boykottiert dieser Virus oder Worm auch die Suchfunktion von regedit, und das ist ja wohl der Überhammer).

Thx.

Poste mal ein HijackThis-Log: http://filepony.de/download-hijackthis/

Zitat:

Zitat von *Christian*

Poste mal ein HijackThis-Log: http://filepony.de/download-hijackthis/

Den allerbesten Dank für den Link. Es ist geradezu spektakulär was der alles gefunden hat:

Logfile of HijackThis v1.98.2
Scan saved at 20:55:48, on 26.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Common files\updmgr\updmgr.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\ntmk32.exe
C:\WINDOWS\syslz.exe
C:\Dokumente und Einstellungen\C_Pruell\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xjcxu.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xjcxu.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xjcxu.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xjcxu.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xjcxu.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xjcxu.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xjcxu.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll
O2 - BHO: (no name) - {E4619879-B07F-005E-F203-9FEE8EA8D4A8} - C:\WINDOWS\winyo32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [mfcew.exe] C:\WINDOWS\system32\mfcew.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [xszxatasffke] C:\WINDOWS\System32\uvnbcyew.exe
O4 - HKLM\..\Run: [atlsq32.exe] C:\WINDOWS\system32\atlsq32.exe
O4 - HKLM\..\Run: [sdkzp32.exe] C:\WINDOWS\system32\sdkzp32.exe
O4 - HKLM\..\Run: [crwj32.exe] C:\WINDOWS\system32\crwj32.exe
O4 - HKLM\..\Run: [sdkki32.exe] C:\WINDOWS\system32\sdkki32.exe
O4 - HKLM\..\Run: [ntmk32.exe] C:\WINDOWS\system32\ntmk32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Cepa] C:\Dokumente und Einstellungen\C_Pruell\Anwendungsdaten\aosa.exe
O4 - HKCU\..\Run: [Ood] C:\WINDOWS\System32\xsufa.exe
O4 - HKCU\..\Run: [\Pribi.exe] C:\DOKUME~1\C_Pruell\ANWEND~1\Pribi\Pribi.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {42F2D240-B23C-11D6-8C73-70A05DC10000} - http://www.oyunfabrikasi.com/as/2/060172as.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/200...Inc/bridge.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.power-url.de/StarInstall.ocx
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.comp...bio5_1_6_0.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll (file missing)

Nochmal den besten Dank für den HijackThis Link. Einfach alles anhaken und weg ist der Spuk. Ich probiers mal. Thx. :aplaus:

Scanne nun mit eScan im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083

Danach poste neues Log von HijackThis.

Zitat:

Zitat von *Christian*

Scanne nun mit eScan im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083

Danach poste neues Log von HijackThis.

Hab's probiert aber 'Server nicht gefunden'. Speziell bei dem Download Link passiert das dann.
Nachdem ich jetzt ein paar mal mit Hijack This sämtliches Zeugs gefixed habe, was er so gefunden hat, läuft vieles beim Surfen wieder sehr gut (war ganz schön mühsam 56 verdächtige Fünde anzuhaken). Mittlerweile kann ich zumindest auf die trendmicro hauptseite wieder zugreifen, ohne umgeleitet zu werden, mcafee, sophos und symantec sind aber noch nicht erreichbar. Ich bin zwar ein totaler Computerlaie aber ich habe den Verdacht diese Viren a la perfectnavigation setzen sich gegen ihre Bekämpfung dadurch zur Wehr, dass sie dem Surfer den Besuch von Seiten von Antivirensoftwareanbietern erschweren. Na, früher oder später wird HijackThis auch noch den registry eintrag finden, der verhindert, dass man auf symantec.com oder mcafee.com oder sophos.com vorbeischaut, bei trendmicro.com hat's das Programm ja auch irgendwie hinbekommen.
Nochmals danke für den Hinweis auf hijackthis.

Hmm ... was hast du denn nun alles gefixt?

Poste nun mal das aktuelle Log von HijackThis.


PS: Du kannst ja nochmal schauen, die Downloadserver müssten wieder erreichbar sein.

Zitat:

Zitat von *Christian*

Hmm ... was hast du denn nun alles gefixt?

Poste nun mal das aktuelle Log von HijackThis.


PS: Du kannst ja nochmal schauen, die Downloadserver müssten wieder erreichbar sein.

Logfile of HijackThis v1.98.2
Scan saved at 11:15:05, on 28.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\syslz.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ntmk32.exe
C:\Dokumente und Einstellungen\C_Pruell\Lokale Einstellungen\Temp\Temporäres Verzeichnis 7 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wqndi.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wqndi.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wqndi.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wqndi.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wqndi.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wqndi.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wqndi.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {31550CF5-C2D4-78A2-AF9F-D01F497AEAF3} - C:\WINDOWS\system32\mfcuh32.dll
O4 - HKLM\..\Run: [ntmk32.exe] C:\WINDOWS\system32\ntmk32.exe

So, einstweilen hab ich Spybot drüberfahren lassen und der ganz ordentlich ausgemistet. Außerdem hab ich mit Securty Taskmanager nachgeguckt und in Summe gibt's jetzt nur noch diese Probleme:

Spybot findet auf meinem Rechner zwar Cydoor, kann ihn aber nicht beheben - der Rechner hängt sich dann nämlich immer auf, wenn Spybot versucht, Cydoor zu killen (bei allen anderen Plagegeistern war Spybot höchst erfolgreich)

Security Task Manager weist mich auf drei Prozesse im Speicher hin, die ihm besonders suspekt erscheinen:
1.) ntmk32.exe - Bewertung 79% (ich kenn mich zwar nicht besonders gut aus, aber ich schließe aus dem Erstellungs- bzw. Änderungsdatum der Datei, dass sie notwendig ist, dass mein ICS Zwei-Rechner Netzwerk funktioniert, also wahrscheinlich nicht gefährlich)

2.) mfcuh32.dll - Bewertung 92% (das ist höchstwahrscheinlich Teil eines bösartigen Programms, nach jedem Rechnerstart findet HijackThis IMMER diesen Prozess unter BHO - Objekte, und ich habe den Verdacht, dass diese DLL maßgeblich daran beteiligt ist, dass nach kurzem Surfen im Internet Popups und Umleitungen zu search-to-find.com einreißen, wenn das passiert lasse ich dann sofort HijackThis scannen, und er zeigt mir dann IMMER die Logfile von oben an - jedesmal diese R1-Veränderungen mit ...sp.html, wobei die 'wqndli.dll' Zeichenfolge, die vor dem 'sp.html' steht, sich nach jedem Fixen mit HijackThis VERÄNDERT in irgendeine andere zufällige Zeichenfolge, nichts desto trotz ein und der selbe Ärger.
Gibt's da ein Patentrezept gegen xxxxxx.dll/sp.html - Viren? Spybot oder Norton 2004 scheinen machtlos dagegen zu sein, und manuell fixen mit HijackThis behebt das Problem für maximal 2-3 Clicks im Internet, und dann ist der sp.html Virus auch schon wieder da, nur mit einem anderen Namen.dll.


3.) So, und nun das wirklich Interessante. Spybot und Norton 2004 fällt dieser Spezialvirus nicht auf, ich glaub der ist total neu:
syslz.exe !
Security Task Manager bewertet diesen Prozess als zuhöchst gefährlich. Ich hab ein bisschen nachgeforscht, angeblich befindet sich die Anwendung laut Security Task Manager im Ordner c:\windows Dort ist aber keine Datei die so heißt. Auch nicht im Ordner system32. Security Task Manager merkt an, dass diese Datei sich möglicherweise im c:\windows Order versucht, sich zu verstecken.
Als nächstes hab ich die Zeichenfolge syslz.exe mit dem Explorer gesucht, und siehe da, für die einzigen Dateien, in denen 'syslz.exe' vorkommt, ist zumeist nicht feststellbar, wo sie sich genau befinden (keine Angabe zu 'Ort', dafür 'Cache-Name').

SYSLZ.EXE-21F379B4.pf befindet sich im Ordner C:\WINDOWS\Prefetch.
Das Dateitypsymbol für diese Datei ist das für 'unbekannte Dateitypen', aber unter Dateityp steht 'PF-Datei'. Öffnen mit: Unbekannte Anwendung.
Vielmehr entscheidend ist aber das Erstellungsdatum und die Erstellungstageszeit, die fallen genau mit dem Zeitpunkt zusammen, seitdem es auf meinem Rechner ganz besonders unheimlich spukt. Der letzte Zugriff auf diese seltsame Datei ist immer, wenn ich ins Internet einsteige, sehr seltsam...

Desweiteren finden sich unter Dateien, die 'syslz.exe' im Namen enthalten, genau fünf weitere Dateien. Die Icons dieser Dateien würden vermuten lassen, dass es sich um html-Dokumente handelt (das blaue kleine 'e'). Das trifft aber nur auf vier davon zu, nämlich die, deren Dateinamen relativ kurz sind. Die fünfte Datei hat einen Dateinamen, der ein paar hundert Zeichen lang ist ve_search_result.php... blablabla. Trotz Icon, das auf ein html-Dokument hinweist, ist das eine Anwendung (laut Eigenschaften), was auch in Hinblick auf ihre Dateigröße (37,9 kb) plausibel erscheint.

Wie gesagt, ich kenn mich nicht sonderlich gut mit solchem Zeugs aus, aber über diesen 'syslz.exe'-Wurm oder Trojaner oder was auch immer finde ich durch googeln keinen einzigen Suchtreffer, und die Virendatenbanken von Symantec oder McAfee kennen diese doofe Datei auch nicht (zumindest nicht als Virus).

Einen Bug, den niemand kennt, wie fixt man den? Ich vermute ja doch, dass man den als Experte im Hijackthis-Log erkennen könnte, aber ich bin eben kein Experte.

However, thx für die Mühe. Die meisten anderen Plagegeister hat Spybot in den Griff bekommen, außer eben Cydoor und syslz.

Hallo Es_spukt_bei_mir,

bitte fixen mit Hijack This im abgesicherten Modus:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wqndi.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wqndi.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wqndi.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wqndi.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wqndi.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wqndi.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wqndi.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {31550CF5-C2D4-78A2-AF9F-D01F497AEAF3} - C:\WINDOWS\system32\mfcuh32.dll
O4 - HKLM\..\Run: [ntmk32.exe] C:\WINDOWS\system32\ntmk32.exe

bitte umbenennen und bei Kaspersky prüfen:

C:\WINDOWS\syslz.exe
C:\WINDOWS\system32\ntmk32.exe

SD

C:\WINDOWS\syslz.exe
C:\WINDOWS\system32\ntmk32.exe
Sende diese Dateien an partytime-germany.ice@web.de

Fixe dies noch zusätzlich:
O4 - HKLM\..\Run: [ntmk32.exe] C:\WINDOWS\system32\ntmk32.exe

Danach lösche diese Dateien:
C:\WINDOWS\system32\mfcuh32.dll
C:\WINDOWS\syslz.exe
C:\WINDOWS\system32\ntmk32.exe

Bitte sende vor dem löschen die Dateien an die genannte Adresse.

So, ich denke mal ich hab das Problem gelöst. Einfach MSIE 6 durch Opera ersetzt und keine Popups, keine Umleitungen zu www.search-to-find.com mehr, und die drei Teile, die HijackThis noch findet, scheinen sich nicht mehr auszuwirken (kein Wunder, BHOs haben ja keinerlei Einfluss auf Opera, oder?). Trotzdem kann ich gewisse Websites immer noch nicht erreichen, im Speziellen www.symantec.com oder www.mcafee.com (das alte Problem), aber das scheint durch irgendeinen anderen Virus bedingt zu sein, ich tippe stark auf Cydoor oder syslz.exe.
Frage:
Bin ich mit Opera sicher davor, dass meine Tastatureingaben durch Cydoor gelesen werden? Außerdem, gibt es ein wirksames Tool zur Entfernung jeglicher Cydoor-Varianten? Spybot S&D oder Norton 2004 werden mit dem nämlich nicht fertig.
Thx.

Hallo,

Zitat:

Trotzdem kann ich gewisse Websites immer noch nicht erreichen, im Speziellen www.symantec.com oder www.mcafee.com (das alte Problem),

Poste den Inhalt dieser Datei C:\Windows\system32\drivers\etc\hosts
und ein aktuelles HJT Log-File.

Logfile of HijackThis v1.98.2
Scan saved at 21:58:17, on 29.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ntmk32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\imisg.dat:afgxg
C:\Programme\Opera\opera.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Dokumente und Einstellungen\C_Pruell\Lokale Einstellungen\Temp\Temporäres Verzeichnis 14 für hijackthis1982.zip\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {81EC5153-D04F-FDEF-005C-0D6BA674EF32} - C:\WINDOWS\ntmv32.dll
O4 - HKLM\..\Run: [ntmk32.exe] C:\WINDOWS\system32\ntmk32.exe

So, das ist die Logfile, interessanterweise steht da immer noch MSIE 6.0 als Browser, obwohl ich die Antwort hier grade mit Opera schreibe. HM HM.

Eine hosts Datei gibt's im Ordner drivers/etc bei mir nicht, nur eine lmhosts (SAM-Datei), networks (Dateityp: 'Datei'), protocol ('Datei'), services ('Datei')

Die vier Dateien sind der Inhalt von drivers/etc.
Ich werd einfach mal anfangen, dafür zu sorgen, dass HJT in der Logfile nicht mehr MSIE 6.0 hinschreibt, sondern Opera. Vielleicht erreich ich dann wieder symantec.com oder mcafee.com.
Thx.

Dein Log-File ist noch nicht sauber!

Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Fixe diese Einträge:
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {81EC5153-D04F-FDEF-005C-0D6BA674EF32} - C:\WINDOWS\ntmv32.dll
O4 - HKLM\..\Run: [ntmk32.exe] C:\WINDOWS\system32\ntmk32.exe

btw: Hast du wirklich alle anderen Einträge aus dem Log-File gelöscht oder hast du es beschnitten?

Diese Dateien im abgesicherten Modus löschen:
C:\WINDOWS\system32\ntmk32.exe
C:\WINDOWS\imisg.dat:afgxg

eScan anwenden:
Den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.
Danach neues Log-File von HijackThis und die Virus Log Information von eScan posten.

Zitat:

So, das ist die Logfile, interessanterweise steht da immer noch MSIE 6.0 als Browser, obwohl ich die Antwort hier grade mit Opera schreibe.

Das sehe ich an diesen Prozess, also kein Aufregung => C:\Programme\Opera\opera.exe

Zitat:

Eine hosts Datei gibt's im Ordner drivers/etc bei mir nicht, nur eine lmhosts (SAM-Datei), networks (Dateityp: 'Datei'), protocol ('Datei'), services ('Datei')

Sehr seltsam!

Zitat:

Ich werd einfach mal anfangen, dafür zu sorgen, dass HJT in der Logfile nicht mehr MSIE 6.0 hinschreibt, sondern Opera.

Das ist normal, also bitte nicht versuchen den IE irgendwie zu deinstallieren, da er zu tief im System verankert ist. Sonst könntest du nachher etliche Probleme haben.

hiho

hab auch nen rpob mit dem komischen ntk ??? krams ...hier mein hj log file
weiss aber nicht was ich davon löschen kann und was nicht (wenn die frau mal allein am pc ist ...) adaware und spybot s&d habe sich bei scannen aufgehängt ...

Logfile of HijackThis v1.99.1
Scan saved at 05:13:18, on 23.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\Explorer.EXE
H:\Programme\AVPersonal\AVGUARD.EXE
H:\Programme\AVPersonal\AVWUPSRV.EXE
H:\WINDOWS\msvm32.exe
H:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
H:\Programme\QuickTime\qttask.exe
H:\WINDOWS\netcb32.exe
H:\Dokumente und Einstellungen\Dirk\Lokale Einstellungen\Temp\HijackThis.exe
H:\Programme\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://H:\WINDOWS\system32\jnres.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://H:\WINDOWS\system32\jnres.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://H:\WINDOWS\system32\jnres.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://H:\WINDOWS\system32\jnres.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://H:\WINDOWS\system32\jnres.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://H:\WINDOWS\system32\jnres.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://H:\WINDOWS\system32\jnres.dll/sp.html#12345
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {109E424F-8DC6-06EC-BB5B-624B121C660F} - H:\WINDOWS\system32\ntqv.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - H:\Programme\GetRight\xx2gr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - H:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WheelMouse] H:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] H:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [iexplore.exe] H:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [netcb32.exe] H:\WINDOWS\netcb32.exe
O4 - HKLM\..\RunOnce: [msvm32.exe] H:\WINDOWS\msvm32.exe
O8 - Extra context menu item: Download with GetRight - H:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://H:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - H:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - H:\Programme\ShopperReports\Bin\1.0.4.0\ShprRprt.dll (file missing)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - H:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - H:\WINDOWS\web\related.htm
O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-4a96-8D08-02B42891C169} - H:\Programme\ShopperReports\Bin\1.0.4.0\ShprRprt.dll (file missing)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62...ridge-c139.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100513886123
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - https://homepage.t-online.de/app/sta...vex/msxml4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE195008-F3BB-47B0-B51C-3118FC9C71E0}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - H:\WINDOWS\ntmk32.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - H:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - H:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - H:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - H:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe

sieht nach viel arbeit aus ))))

gruss dirk

hiho

ich nochmal . habe jetz einige ausprobiert um den scxxx endlich vom rechner zu bekommen sieht so weit auch wieder ganz gut aus aber wenn windoff hochgefahren ist will der automatisch ins inet (habe es aber irgenwie hinbekommen das der nicht mehr about:blank anwählt sondern die google seite ...)

mein logfile
Logfile of HijackThis v1.99.1
Scan saved at 02:51:16, on 24.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\System32\RunDLL32.exe
H:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
H:\Programme\QuickTime\qttask.exe
H:\Programme\AVPersonal\AVGNT.EXE
H:\WINDOWS\System32\rundll32.exe
H:\Programme\AVPersonal\AVGUARD.EXE
H:\Programme\AVPersonal\AVWUPSRV.EXE
H:\WINDOWS\System32\nvsvc32.exe
H:\WINDOWS\System32\wuauclt.exe
H:\PROGRA~1\WINZIP\winzip32.exe
H:\Dokumente und Einstellungen\Dirk\Lokale Einstellungen\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {109E424F-8DC6-06EC-BB5B-624B121C660F} - H:\WINDOWS\system32\ntqv.dll (file missing)
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - H:\Programme\GetRight\xx2gr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - H:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WheelMouse] H:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] H:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [iexplore.exe] H:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [KASP] "H:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\OESpamTest.exe"
O8 - Extra context menu item: Download with GetRight - H:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://H:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - H:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - H:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - H:\WINDOWS\web\related.htm
O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-4a96-8D08-02B42891C169} - H:\WINDOWS\System32\shdocvw.dll
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62...ridge-c139.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100513886123
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - https://homepage.t-online.de/app/sta...vex/msxml4.cab
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - H:\WINDOWS\netug.exe" /s (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - H:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - H:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - H:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - H:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe

was kann noch raus bzw was kann mann gegen das einwählproblem machen ????

gruss und schon mal danke Dirk