Hallo!

Ich habe gestern abend XP neu aufgesetzt und prompt einen Wurm gehabt und anscheinend auch noch anderes Viehzeug. Ich war nur onlinge gegangen, um Updates für XP und Norton-AV zu holen.

Ich werde nun unregelmäßig auf www.sodhell.com/tool2.html entführt. Mit Spybot und Adaware habe ich einiges gefunden und entfernt, bisher ist das Browser-Napping auch nicht wieder aufgetaucht.

Kann mir einer von Euch bitte sagen, ob er was Auffälliges im LogFile sieht? Und was kann ich dagegen tun?

Noch was seltsames: Ich wollte die Toolbar von MSN runterladen (wegen Popup-Blocker), aber wenn ich auf Download klicke, passiert nichts.

Vielen Dank für Eure Hilfe schon mal im voraus!
ASD



Logfile of HijackThis v1.98.2
Scan saved at 19:22:26, on 03.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\gsicon.exe
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\msm32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Dokumente und Einstellungen\MAD\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\AAR 6.0.1\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy 1.3\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [GSICONEXE] gsicon.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [Microsoft Protection Subsystems] msm32.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [Microsoft Protection Subsystems] msm32.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094215715109

Laut der automatischen Auswertung von HijackThis ist das Teil msm32.exe verdächtig.

Das habe ich auch im Auge, weil ich es nicht zuordnen kann. Außerdem hatte es wehement versucht, online zu gehen ... wurde von Kerio Firewall davon abgehalten.

Hallo ASD1974,

führe bitte einen eScan auf Deinem Rechner durch, entsprechend der Anleitung in diesem Thread: http://www.trojaner-board.de/showthread.php?t=6083

Teile uns bitte das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt.

Poste dananch bitte ein neues Logfile mit Hijack This.

SD

Ich habe das eScan runtergeladen, aber kann es nicht in C:ßbases entpacken, weil es eScan gleich startet, wenn ich auf die Zip klicke. Die packt sich selbst aus, aber ich kann nicht wählen wohin.

Zitat:

Zitat von ASD1974

Ich habe das eScan runtergeladen, aber kann es nicht in C:ßbases entpacken, weil es eScan gleich startet, wenn ich auf die Zip klicke. Die packt sich selbst aus, aber ich kann nicht wählen wohin.

Moin,
du musst mit WinZip (oder vergleichbar) die Datei mit der rechten Maustaste anklicken und dann im Menü 'extrahieren nach' *1 auswählen und dort den Pfad C:\bases angeben.

*1 Je nach Zip-Tool kann der Befehl im Kontextmenü namentlich leicht abweichen. Aber wichtig ist, die Datei mit der rechten Maustaste anzuklicken...

Ja, sorry, habe noch kaum was installiert. War mir dann auch eingefallen, daß ich erst mal ein Packproggi brauche.

Ergebnis eScan:
83 Viren gefunden, nichts gelöscht, nur alle 83 umbenannt.
Einer war dies: C:\WINDOWS\system32\msm32.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
Alle anderen 82 waren: C:\Programme\Norton AntiVirus\Quarantine\... .exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.

Das ... da steht für viele Zahlenkombinationen, immer 8 Zahlen oder Buchstaben, meist mit 7 beginnend.

Komisch, Norton hat nichts gemeldet.

Mache nun nochmal Hijack.