Hallo!
Bin neu hier und hab von dem ganzen noch nicht so viel ahnung, aber ich verzweifle langsam an meinem Internet. Fast immer wenn ich eine Seite laden will läd der IE ersteinaml super lange und zeigt dann meistens "Server nicht gefunden" an, direkt danach werde ich dann zu searchforit.com weitergeleitet.wenn ich die seite dann nch mal neu lade funktonierts manchmal beim 3,4 oder auch 10 mal.
Hab schon alles mögliche versucht und auch schon sehr lange Spybot, und ad-aware drauf. Spybot hat die Toolbar von searchforit am anfang gefunden und auch entfernt, aber jetzt findet es nichts mehr. hab jetzt hier mal rumgeguckt und CWShredder runterdgeladen und durchlaufen lassen, aber verändert hat sich nichts.

Kann mir jemand helfen??

Vielen Dank


Tobi

Hallo,

erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Also hab das programm durchlaufen lassen. Und der hat sowas hier ausgespuckt:



Logfile of HijackThis v1.98.2
Scan saved at 08:51:52, on 12.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\fvnqsh.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\......\Desktop\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Replace Search Ctl - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - C:\WINDOWS\System32\replaceSearch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Compliant] fvnqsh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunServices: [Windows Compliant] fvnqsh.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Compliant] fvnqsh.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WebSecureAlert.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Internet\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Internet\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093126836155
O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter...0/SYSsfitb.cab



Mfg

Tobi

Hallo Tobi!!!!!!!

besuche bitte www.windowsupdate.com. Dein IE ist nicht auf dem aktuellen Stand.

Überprüfe bitte mit dem online-scan von Kaspersky folgende Dateien:

C:\WINDOWS\System32\fvnqsh.exe
C:\WINDOWS\System32\replaceS

Ergebnis?

Fixe folgende Einträge mit Hijack This im abgesicherten Modus:

"Insofern nicht in dem kostenlosen Anti-Spyware-Tool die Option 'Lock homepage from changes' aktiviert wurde, ist dieser Eintrag mit HijackThis zu fixen:"

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

bitte fixen:

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shoote...00/SYSsfitb.cab

An dieser Stelle möchte ich dann gerne Cidre zitieren, der auf ein paar sehr wichtige Punkte hinweist, die vermutlich auch für Dich von einiger Wichtigkeit sind:

Zitat:

Zitat von Cidre

Um die Sicherheit deines Systems zu erhöhen, solltest du diese Punkte noch abarbeiten:
- Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
- NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/

Für die Zukunft:
Kompromittierung unvermeidbar?

Poste bitte das Ergebnis der Datei-Überprüfung.

SD

Also erstmal vielen Dank für die schnalle Hilfe. Hab jetzt folgendes gemacht:

1. IE geupdated
2. Fvnqsh.exe gescannt und tatsächlich sagt der: fvnqsh.exe Infiziert: Backdoor.Win32.Rbot.bp
3. Weiss nicht ob die datei gemeint war, aber hab die Datei ReplaceSearch.dll gescannt und die war ok. Außerdem hab ich die replace.exe gescannt weil ich mit nicht sicher war, welche gemeint war. Ist aber auch ok
4.
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shoote...00/SYSsfitb.cab

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Hab ich gefixt.


IE scheint wieder zu funktionieren, hab mir aber jetzt direkt mozilla rutergeladen. Sonen ärger will ich mit demnächst ersparen.

Wie repariere ich jetzt am besten die infizierte datei. Ist da was bestimtes zu beachten oder geht das mit nem normalen vieren programm( hab norton)?


Mit freundlichen Grüßen

Tobi

Zitat:

IE scheint wieder zu funktionieren, hab mir aber jetzt direkt mozilla rutergeladen. Sonen ärger will ich mit demnächst ersparen.

Da hab ich mich wohl getäuscht, IE zickt imme rum.

Du solltest dir überlegen, ob du nicht dein System formatierst.
Ein aktiver Backdoor ist immer eine Gefahr - auch wenn dieser schon vom System verbannt ist. Man kann nicht feststellen, was bereits alles manipuliert wurde.

Ansonsten lösche die Datei C:\WINDOWS\System32\fvnqsh.exe im abgesicherten Modus.

Fixe dies dann mit HijackThis:
O4 - HKLM\..\Run: [Windows Compliant] fvnqsh.exe