@ CityHunterNRW

wie ich eben sehe, hast Du auch diese Search-Seiten im Browser. Bitte mach zunächst Folgendes:

Spybot-Forschung: arbeite das Tutorial Punkt für Punkt durch, überprüfe Deinen Computer mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info, mit dem Betreff "isapi/redir.dll-TBOARD" und Hinweis auf diesen Thread.

SD

Hallo CityHunterNRW,

überprüfe mit dem online-scan von Kaspersky:

C:\WINDOWS\SYSTEM\PELMICED.EXE
C:\WINDOWS\SYSTEM\CNXDSLTB.EXE
C:\WINDOWS\DOWNLOADED PROGRAM FILES\IEBAR.DLL

Teile uns das Ergebnis der Überprüfung mit. Sende diese Dateien an partytime-germany.ice@web.de und detections@spybot.info, mit Verweis auf diesen Thread. (Forschungszweck)

Boote in den abgesicherten Modus, fixe dann mit Hijack This (Häk'chen setzen und fix checked klicken):

O4 - HKLM\..\Run: [ZIBMACC] c:\windows\rundll.exe setupx.dll,InstallHinfSection DefaultInstall 128 C:\WINDOWS\INF\ZIBMACC.INF

Boote in den normalen Modus.

Lade das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

Informiere Dich hier: Trojaner-Info.de zu dem Thema Browser Hijacking. Du findest eine Fülle Tipps und Ratschläge, Hilfstools, Links zu sicheren Browsern u.a. Besuche auch diese Seite: ADS-Aufspürer, lade Dir das Tool runter. Es kann sein, dass Dein Problem damit zu tun hat. Noch ein Hinweis: SpywareBlaster 3.2 schützt verschiedene Browser-Systeme vor Spyware, Adware, Browser Hijackers, Dialern, und anderen unerwünschten Plagegeistern. Ich kenne die Programme selbst und empfehle sie.

Sollte das Ergebnis der Überprüfung der Dateien

C:\WINDOWS\SYSTEM\PELMICED.EXE
C:\WINDOWS\SYSTEM\CNXDSLTB.EXE
C:\WINDOWS\DOWNLOADED PROGRAM FILES\IEBAR.DLL

negativ sein, warte bitte das Ergebnis der Untersuchung durch partytime-germany.ice@web.de und detections@spybot.info ab. Schau ab und an mal rein.

SD

danke @Lidius und Shadowdance
werde das heute mittag mal machen und dann heute mittag wieder posten werde es dann mal ausprobieren ...=)und losschicken

aaaalso. bei mir als modem-nutzer (bitte nicht hauen) dauert es immer ein wenig länger.

escan findet bei mir nix ausser eben den gain/gator.

und spybot hat 55 probleme gefunden, die ich - wie empfohlen - beheben lassen habe. spybot hat demnach auch alles erledigt, so dass jetzt eigentlich nix mehr zu protokolieren übrig ist. richtig?

bleibt nur noch das hijack-protokoll. soll ich das nun auch noch einmal neu machen?

gruß,
alexo

@ alexo

Zitat:

Zitat von alexo

und spybot hat 55 probleme gefunden, die ich - wie empfohlen - beheben lassen habe. spybot hat demnach auch alles erledigt, so dass jetzt eigentlich nix mehr zu protokolieren übrig ist. richtig?

falsch: -> sende bitte den Spybot-Report an die oben angegebene Mail-Adresse.

Zitat:

Zitat von alexo

bleibt nur noch das hijack-protokoll. soll ich das nun auch noch einmal neu machen?

ja bitte und poste es hier.

SD

in der tat erkennt spybot nun nichts mehr, macht also auch kein protokoll ("glückwunsch, keine spyware").

escan sagte mir bei erneutem durchlauf:

File C:\_RESTORE\TEMP\A0207731.CPY tagged as not-a-virus:AdWare.Gator. No Action Taken.
File C:\_RESTORE\TEMP\A0207732.CPY tagged as not-a-virus:AdWare.Gain.6041. No Action Taken.
File C:\_RESTORE\TEMP\A0207733.CPY tagged as not-a-virus:AdWare.Gator. No Action Taken.
File C:\_RESTORE\TEMP\A0207734.CPY tagged as not-a-virus:AdWare.Gator. No Action Taken.
File C:\_RESTORE\ARCHIVE\FS2702.CAB tagged as not-a-virus:AdWare.Gator. No Action Taken.
File C:\_RESTORE\ARCHIVE\FS2704.CAB tagged as not-a-virus:AdWare.Gator. No Action Taken.
File C:\_RESTORE\ARCHIVE\FS2716.CAB tagged as not-a-virus:AdWare.Gator. No Action Taken.
File C:\_RESTORE\ARCHIVE\FS2735.CAB tagged as not-a-virus:AdWare.Gator. No Action Taken.


was zum teil dem entspricht, was auch antivir mit bds/agent.ay beanstandet hat.


zum abschluss noch mein hijack-log:

Logfile of HijackThis v1.98.2
Scan saved at 14:43:21, on 23.10.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MHOTKEY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\FPDISP3A.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\BROWSER MOUSE\BROWSER MOUSE\1.1\MOUSE32A.EXE
C:\PROGRAMME\OFFICE KEYBOARD UTILITY\1.1\OFFICEKB.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\OFFICE KEYBOARD UTILITY\1.1\MMKEYB.EXE
C:\PROGRAMME\MAILCLEANER.COM\MAILCLEANER\MAILCLEANER.EXE
C:\PROGRAMME\OFFICE KEYBOARD UTILITY\1.1\TRAYMON.EXE
C:\PROGRAMME\OFFICE KEYBOARD UTILITY\1.1\OSD.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\MCEXT.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.donots.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
F1 - win.ini: run=C:\WINDOWS\hpfsched.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [Go!Zilla dial-up fix] "C:\PROGRAMME\GOZILLA\GO.EXE" /FIXRAS
O4 - HKLM\..\Run: [Norton eMail Protect] C:\PROGRAMME\NORTON ANTIVIRUS\POProxy.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [FinePrint Dispatcher] C:\WINDOWS\SYSTEM\fpdisp3a.exe
O4 - HKLM\..\Run: [IrMon] irmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~2\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [FLMOFFICEKEYBOARD] C:\Programme\Office keyboard utility\1.1\OFFICEKB.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [AOLMIcon] C:\WINDOWS\ICONS\AOLMIcon.exe
O4 - HKCU\..\Run: [MailCleaner] C:\PROGRAMME\MAILCLEANER.COM\MAILCLEANER\MAILCLEANER.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: Preispiraten - {94A15285-AAE6-44E8-B2D7-4A2C6CDA9185} - C:\Programme\Preispiraten\preispiraten.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: CSIM - {1CC5B705-DB52-43FB-9161-4E30900F9925} - C:\Programme\CompuServeOffice\csim\aim.exe (file missing) (HKCU)
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {380D8190-23CB-11D3-B94F-00105A566F76} (Swing Classes) - http://sicher.first-e.com/enba/java/jars/swinginst.cab
O16 - DPF: {380D8192-23CB-11D3-B94F-00105A566F76} (first-e E-Mail Reader) - http://sicher.first-e.com/enba/java/jars/tnbinst.cab
O16 - DPF: {380D8193-23CB-11D3-B94F-00105A566F76} (first-e Utility Classes) - http://sicher.first-e.com/enba/java/jars/firsteinst.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...43/yacscom.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab

Hallo alexo,

Du hast jede Menge Adware auf Deinem Computer, das zeigt auch Dein Logfile. Diese Adware muss gelöscht werden. Das geht folgendermassen:

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren (Zitat Cidre) und die Option "Geschütze Systemdatein ausblenden (empfohlen)" abschalten. (Zitat Warhawk)

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre]. Auf diese Weise kannst Du all diese Dateien von Hand löschen:

Zitat:

File C:\_RESTORE\TEMP\A0207731.CPY tagged as not-a-virus:AdWare.Gator. No Action Taken.
File C:\_RESTORE\TEMP\A0207732.CPY tagged as not-a-virus:AdWare.Gain.6041. No Action Taken.
File C:\_RESTORE\TEMP\A0207733.CPY tagged as not-a-virus:AdWare.Gator. No Action Taken.
File C:\_RESTORE\TEMP\A0207734.CPY tagged as not-a-virus:AdWare.Gator. No Action Taken.
File C:\_RESTORE\ARCHIVE\FS2702.CAB tagged as not-a-virus:AdWare.Gator. No Action Taken.
File C:\_RESTORE\ARCHIVE\FS2704.CAB tagged as not-a-virus:AdWare.Gator. No Action Taken.
File C:\_RESTORE\ARCHIVE\FS2716.CAB tagged as not-a-virus:AdWare.Gator. No Action Taken.
File C:\_RESTORE\ARCHIVE\FS2735.CAB tagged as not-a-virus:AdWare.Gator. No Action Taken.

fixe mit Hijach This, ebenfalls im abgesicherten Modus bei deaktivierter Systemwiederherstellung:

O4 - HKLM\..\Run: [Go!Zilla dial-up fix] "C:\PROGRAMME\GOZILLA\GO.EXE" /FIXRAS
O9 - Extra button: CSIM - {1CC5B705-DB52-43FB-9161-4E30900F9925} - C:\Programme\CompuServeOffice\csim\aim.exe (file missing) (HKCU)

und wenn Du diese Einträge nicht kennst/ brauchst, bitte auch fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://www.donots.de/
O16 - DPF: {380D8190-23CB-11D3-B94F-00105A566F76} (Swing Classes) - ht*p://sicher.first-e.com/enba/java/jars/swinginst.cab
O16 - DPF: {380D8192-23CB-11D3-B94F-00105A566F76} (first-e E-Mail Reader) - ht*p://sicher.first-e.com/enba/java/jars/tnbinst.cab
O16 - DPF: {380D8193-23CB-11D3-B94F-00105A566F76} (first-e Utility Classes) - ht*p://sicher.first-e.com/enba/java/jars/firsteinst.cab

O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - ht*p://216.249.24.143/code/PWActiveXImgCtl.CAB

boote nun in den normalen Modus.

beende:
GO.EXE"

lösche:
C:\PROGRAMME\GOZILLA\GO.EXE"

aktiviere die Systemwiederherstellung.

Dein IE ist nicht gut konfiguriert. Lies Dich dazu bitte hier ein: IE sicher konfigurieren: www.datenschutzzentrum.de.

Überlege Dir, ob Du auf einen sicheren Browser umsteigen willst und den IE nicht besser nur noch für die Windows Updates verwenden willst:

- Vorbeugende Maßnahmen: www.trojaner-info.de
www.datenschutzzentrum.de.
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- faq.underflow.de

SD

Hallo ich hab ein (oder mehrere Virus aufm PC) hab hir gelesen das MAN ein eScan machen mus und HijackThis log aber was man danach machen mus verstehe ich nicht mehr ICH Bitte euch helft mir hir was man bei mir gefunden hat.

der E.Scan: hatt 9 Gefunden 1 gelöscht der Virus heist Backdoor.Coreflod

und hir der Logg:



Logfile of HijackThis v1.98.2
Scan saved at 11:54:07, on 24.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\SOINTGR.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe
C:\programme\steam\steam.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Dokumente und Einstellungen\Danijel\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: mmcsheit - {2B894574-4D0A-E66C-6269-93EF07FB02E4} - C:\WINDOWS\System32\mmcsheit.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\\SmartDoctor.exe /start
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.bluewin.ch
O15 - Trusted Zone: http://ad.searchsquire.com
O15 - Trusted Zone: http://search.searchsquire.com
O15 - Trusted Zone: http://update.searchsquire.com
O15 - Trusted Zone: http://www.searchsquire.com
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/09c91d9d...p/RdxIE601.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://www.game-on.bluewin.ch/god/files/ExentCtl.ocx
O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/soft...ch/alaunch.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/uk/WebInstall.dll
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://hpt1.bluewin.ch/app/static/activex/msxml4.cab
O16 - DPF: {912DC742-755C-4F1D-9F77-DFF88C344083} (Vacpro.switzerland) - http://www.7adpower.com/dialer/switzerland.CAB
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://216.194.228.21/camera/AxisCamControl.ocx
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.download-url.de/StarInstall.ocx
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab

Backdoor - TrojanClicker - TrojanDownloader ...

Ich empfehle dir:

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten

Hallo deni,

arbeite bitte das Tutorial der Spybot-Forschung Punkt für Punkt durch, überprüfe den Rechner mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info, mit dem Betreff "vbsys.dll-TBOARD" und Hinweis auf diesen Thread. (Nicht im Forum posten, da zwecklos!)

=====@=====

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter www.windowsupdate.com.

=====@=====

Folgende Prozesse sind unbekannt. Überprüfe mit dem online-scan von Kaspersky:

C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe
C:\WINDOWS\System32\mmcsheit.dll
C:\WINDOWS\SOINTGR.EXE

Teile uns das Ergebnis der Überprüfung mit.

=====@=====

Information zu Backdoor.Coreflod:

McAfee
Sophos-> "Erläuterung" beachten: "Troj/CoreFloo-C ist ein Backdoor-Trojaner, der einem Remote-Eindringling Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen ermöglicht." [..] "Troj/CoreFloo-C verfügt außerdem über eine Anti-Löschfunktion, die verhindern soll, dass virale Prozesse beendet werden, und erstellt die Registrierungseinträge oben erneut, wenn diese entfernt werden." Dein System muss als kompromittiert betrachtet werden: www.mathematik.uni-marburg.de. Am besten wäre es, Du würdest Dein System formatieren und neu aufsetzen und Deinen Rechner so schnell wie möglich aus dem Netz nehmen. Das System Deines Computers ist infiziert und stellt für Dich und für andere ein Sicherheitsrisiko dar.
Bitte lies diese Tips: 10 Schritte-Lösung

=====@=====

Solltest Du Deinen Rechner nicht formatieren wollen, geht es hier weiter. Aber nochmals und in aller Eindringlichkeit: Dein System ist nicht mehr sicher. Auf Online-Banking oder das Bearbeiten vertraulicher Angelegenheiten, Firmendatenbanken, Kundendaten und ähnlichem muss mit diesem System verzichtet werden.

=====@=====

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, fixe dann mit Hijack This:

O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htmv
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/sof...nch/alaunch.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/uk/WebInstall.dll
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.download-url.de/StarInstall.ocx

Dialer bitte vor dem Fixen auf Diskette sichern:

O16 - DPF: {912DC742-755C-4F1D-9F77-DFF88C344083} (Vacpro.switzerland) - http://www.7adpower.com/dialer/switzerland.CAB

wenn Du diese Seite nicht kennst/brauchst, bitte fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch

O15 - Trusted Zone: http://ad.searchsquire.com
O15 - Trusted Zone: http://search.searchsquire.com
O15 - Trusted Zone: http://update.searchsquire.com
O15 - Trusted Zone: http://www.searchsquire.com

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://216.194.228.21/camera/AxisCamControl.ocx

Boote in den normalen Modus. Aktiviere die Systemwiederherstellung.

=====@=====

Lade das Clear Prog runter, leere damit die Ordner TEMP, Temorary Internet Files, Cookies und den Verlauf.

=====@=====

Erstelle ein neues Hijack This Logfile und poste es.

SD

[edit] @ *christian* .. die Postings haben sich gekreuzt.

Danke jung für die schnelle antworten , also Norton hat mir gezeigt wo sich der Backdor Virus befindet aber es kan ihn nicht löschen es ist in der datei SYSTEM32 nmevimsg.dll und der spybot 27probleme gefunden hab alle gelöscht 1 konnte er nicht löschen aber ich hab den überblick nicht ich verstehe nicht was wo wie , kan sich nicht jemand mit mir über ICQ in verbindung setzen 211947265

Hallo, Deni,
siehst Du, u.a. genau deshalb solltest Du die Ratschläge von Shadowdance befolgen und die 10-Punkte Regel sauber abarbeiten!
cacatoa

ich glaub ich spinne also hab mir am samstag den Norton schutz gekauft und der ist echt kacke , jetzt hab ich mal die dateien überprüft wie shadow es geschrieben hatt 1 von den 3 ist auch infiziert diese hier C:\WINDOWS\System32\mmcsheit.dll mit dem virus Backdoor.Win32.Afcore.aw ALSO jungs das is der 2 den Norton nicht mal gefunden hat (den anderen konte er es wenigsten aber nicht löschen )

IS mein PC Tottall Infiziert also so zusagen hat er Krebs kan ich mich drauf einlassen das er bald nicht mehr brauchbar ist man man und ich hab gar keine ahnung mit solchen zeugs .

hallo sd,
so, alles gemacht. komischerweise gab es die ersten vier dateien, die escan aufgezählt hatte (die aus dem _restore\temp ordner) auf einmal nicht mehr...

den rest hab ich runtergehauen, im abgesicherten modus, deaktivierte sys-wiederherstellung.

umsteigen aus "sicheren" browser? das wäre z.b.?

gruß und danke für die viele und schnelle hilfe,
alexo

@ deni,

auf Deinem Rechner ist ein sehr bösartiger Virus, der sich auch nach dem löschen wieder neu herstellt. Es ist eine Art sehr bösartiger Krebs. Ausserdem ist es ansteckend. Dein Rechner ist sozusagen schwerst erkrankt. Er kann auch nicht geheilt werden. Du musst aber nicht den Rechner wegwerfen, sondern das Betriebssystem. was auf Deinem Rechner läuft.

Hast Du schon mal in den Motorraum eines Auto's geschaut? Da gibt es einen Motor, damit das Auto fährt. Motor beim Auto = Betriebssystem beim Computer. Wenn der Motor kaputt ist, brauchst Du einen neuen Motor. Die Karosserie vom Auto ist ok. Wenn das Betriebssystem verseucht (kompromittiert) ist, musst Du das System wegwerfen (format c) und ein neues System installieren.

Du solltest Deinen Rechner (plattmachen) formatieren und neu aufsetzen. Lies dazu bitte erst die Anweisung der Tips: 10 Schritte-Lösung aus meinem letzten Posting. Es ist ein sehr dringender Rat!

SD