Ich hab mir jetzt einen äußerst merkwürdigen Trojaner oder Wurm eingefangen:
Ich kann mich praktisch beliebig im Internet Surfen, ohne Probleme, wie gewohnt. Nur die folgenden Seiten zeigt er mir nicht mehr an, wenn ich sie besuchen will:
www.symantec.com
www.sophos.com
www.mcafee.com
www.trendmicro.com
Na, klingelt's? Das sind alles Seiten von Anbietern von Antiviren-Software. Aber mir wird immer nur das Fenster: 'Es sind technische Schwierigkeiten aufgetreten' angezeigt, und zwar nur und ausgerechnet bei diesen Seiten. Im unteren Bereich der Fehlermeldepage befinden sich mehrere Spalten mit Gruppierten Links (Health-Business bla bla), was auch etwas merkwürdig ist für eine Fehlermeldepage. Ich hatte schon einmal einen perfectnavigation Plagegeist, und hab denn auch nie ganz weggekriegt, er schaltet sich in letzter Zeit halt nur wesentlich seltener als früher ein.

Ich habe eine der folgenden Dateien in Verdacht, für meine Misere verantwortlich zu sein (alle im Windows\System32 Ordner):

xsufa.exe
jawafo.dll
wnsapiit.exe
uvnbcycw.exe
netvk.exe
netvk.dll

Weil das sind die Dateien die sich seit gestern, als das alles anfing, im System32 Ordner angesiedelt haben.

Wenn ich mir vom Task-Manager die laufenden Prozesse anzeigen lasse, kommen mir ausserdem auch noch diese Prozesse besonders verdächtig vor:

ntmk32.exe

syslz.exe (Ich glaube das ist der Wurm höchstpersönlich, ich kann ihn aber
nirgendwo in den Systemordnern finden, und leider liefert Google kein einziges
Suchergebnis für diesen Begriff.
Ich habe diesen Prozess stark im Verdacht, dafür verantwortlich zu sein,
dass er mir about:blank als Startseite aufzwingt, und dass er mich mit 50-
prozentiger Wahrscheinlichkeit beim Klicken auf einen Link im Web auf die
www.search-to-find.com Website umleitet)

sdkzp32.exe (ist mir auch nicht ganz geheuer)

und gegen msbb.exe ist man eh machtlos. Ich frag mich manchmal, wofür ich mir mit Norton 2004 einen laut Verkäufer ausgezeichneten, relativ teuren Virenfinder gekauft habe, weil der weder was findet geschweige denn gegen die ganzen Viren und Spywares irgendetwas tut.

Falls euch ein paar der Dateien oder Prozesse von oben auch schon einmal negativ aufgefallen sind, bin ich für jede Hilfe bzgl ihrer Bekämpfung sehr dankbar (Tja, und seit einiger Zeit boykottiert dieser Virus oder Worm auch die Suchfunktion von regedit, und das ist ja wohl der Überhammer).

Thx.

Poste mal ein HijackThis-Log: http://filepony.de/download-hijackthis/

Zitat:

Zitat von *Christian*

Poste mal ein HijackThis-Log: http://filepony.de/download-hijackthis/

Den allerbesten Dank für den Link. Es ist geradezu spektakulär was der alles gefunden hat:

Logfile of HijackThis v1.98.2
Scan saved at 20:55:48, on 26.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Common files\updmgr\updmgr.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\ntmk32.exe
C:\WINDOWS\syslz.exe
C:\Dokumente und Einstellungen\C_Pruell\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xjcxu.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xjcxu.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xjcxu.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xjcxu.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xjcxu.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xjcxu.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xjcxu.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll
O2 - BHO: (no name) - {E4619879-B07F-005E-F203-9FEE8EA8D4A8} - C:\WINDOWS\winyo32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [mfcew.exe] C:\WINDOWS\system32\mfcew.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [xszxatasffke] C:\WINDOWS\System32\uvnbcyew.exe
O4 - HKLM\..\Run: [atlsq32.exe] C:\WINDOWS\system32\atlsq32.exe
O4 - HKLM\..\Run: [sdkzp32.exe] C:\WINDOWS\system32\sdkzp32.exe
O4 - HKLM\..\Run: [crwj32.exe] C:\WINDOWS\system32\crwj32.exe
O4 - HKLM\..\Run: [sdkki32.exe] C:\WINDOWS\system32\sdkki32.exe
O4 - HKLM\..\Run: [ntmk32.exe] C:\WINDOWS\system32\ntmk32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Cepa] C:\Dokumente und Einstellungen\C_Pruell\Anwendungsdaten\aosa.exe
O4 - HKCU\..\Run: [Ood] C:\WINDOWS\System32\xsufa.exe
O4 - HKCU\..\Run: [\Pribi.exe] C:\DOKUME~1\C_Pruell\ANWEND~1\Pribi\Pribi.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {42F2D240-B23C-11D6-8C73-70A05DC10000} - http://www.oyunfabrikasi.com/as/2/060172as.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/200...Inc/bridge.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.power-url.de/StarInstall.ocx
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.comp...bio5_1_6_0.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll (file missing)

Nochmal den besten Dank für den HijackThis Link. Einfach alles anhaken und weg ist der Spuk. Ich probiers mal. Thx. :aplaus:

Scanne nun mit eScan im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083

Danach poste neues Log von HijackThis.

Zitat:

Zitat von *Christian*

Scanne nun mit eScan im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083

Danach poste neues Log von HijackThis.

Hab's probiert aber 'Server nicht gefunden'. Speziell bei dem Download Link passiert das dann.
Nachdem ich jetzt ein paar mal mit Hijack This sämtliches Zeugs gefixed habe, was er so gefunden hat, läuft vieles beim Surfen wieder sehr gut (war ganz schön mühsam 56 verdächtige Fünde anzuhaken). Mittlerweile kann ich zumindest auf die trendmicro hauptseite wieder zugreifen, ohne umgeleitet zu werden, mcafee, sophos und symantec sind aber noch nicht erreichbar. Ich bin zwar ein totaler Computerlaie aber ich habe den Verdacht diese Viren a la perfectnavigation setzen sich gegen ihre Bekämpfung dadurch zur Wehr, dass sie dem Surfer den Besuch von Seiten von Antivirensoftwareanbietern erschweren. Na, früher oder später wird HijackThis auch noch den registry eintrag finden, der verhindert, dass man auf symantec.com oder mcafee.com oder sophos.com vorbeischaut, bei trendmicro.com hat's das Programm ja auch irgendwie hinbekommen.
Nochmals danke für den Hinweis auf hijackthis.

Hmm ... was hast du denn nun alles gefixt?

Poste nun mal das aktuelle Log von HijackThis.


PS: Du kannst ja nochmal schauen, die Downloadserver müssten wieder erreichbar sein.