Moin moin,

zuerst einmal ein herzliches Dankeschön an alle, die in diesem Forum viren-, wurm-, und hijack-geplagten Usern helfen. Allein durch Lesen der Beiträge bin ich bei der Erkennung und Beseitigung der Malware auf meinem Rechner schon ein gutes Stück vorangekommen (hoffe ich jedenfalls).

Ursprünglich wurde die Startseite meines IE verändert und bei Eingabe einer URL ohne vorangestelltes http:// immer zu 'heretofind.com' umgeleitet. Dieses Problem habe ich mithilfe von e-scan und hjt in der neuesten Version zumindest vorübergehend gefixt. Nach einiger Zeit tauchen in der Registry aber immer wieder die Verweise auf die inzwischen gelöschten Dateien wuam.exe, PDSched.exe, IEXPLORE.EXE, ati2vid.exe, winamp.exe und lsas.exe auf. Es muss also noch mindestens einen bösen Prozess geben, der im Hintergrund immer wieder versucht die Registry zu ändern.

Wäre super, wenn jemand einmal einen Blick auf das Logfile werfen könnte:

Logfile of HijackThis v1.98.2
Scan saved at 11:31:22, on 16.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\System32\drivers\trcboot.exe
C:\Program Files\IBM\Personal Communications\PCS_AGNT.EXE
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\C4ebreg\isamsmt.exe
c:\sdwork\issimsvc.exe
C:\PROGRA~1\AT&TNE~1\NetCfgSv.EXE
C:\Program Files\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\Drivers\ldlcserv.exe
C:\WINNT\system32\MsgSys.EXE
C:\Program Files\NavNT\vptray.exe
C:\WINNT\system32\ltmsg.exe
C:\WINNT\system32\S3Tray2.exe
C:\WINNT\system32\tp4serv.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINNT\system32\PRPCUI.exe
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\Lexmark X6100 Series\lxbfbmgr.exe
C:\Program Files\Common Files\InterVideo\SchSvr\SchSvr.exe
C:\Program Files\Lexmark X6100 Series\lxbfbmon.exe
C:\Program Files\Common Files\TerraTec\Scheduler\TTTimer.exe
C:\Program Files\Common Files\TerraTec\Remote\TTTVRC.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\WINNT\explorer.exe
C:\Programme\Outlook Express\msimn.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Sony\SonicStage\Omgjbox.exe
C:\Program Files\c4ebreg\c4ebreg.exe
C:\WINNT\system32\taskmgr.exe
E:\Download\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [iamapp] "C:\Program Files\Symantec_Desktop_Firewall\IAMAPP.EXE"
O4 - HKLM\..\Run: [C4EBReg] "C:\Program Files\c4ebreg\c4ebreg.exe" /q
O4 - HKLM\..\Run: [ISAM SMT Service] "C:\Program Files\C4ebreg\isamsmt.exe"
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [ConfigSafe] C:\CFGSAFE\NTFSCLUP.EXE
O4 - HKLM\..\Run: [CSScheduleCheck] C:\CFGSAFE\SCHWIZEX.EXE -CHECK
O4 - HKLM\..\Run: [ISSI EZUpdate Service] "c:\sdwork\issimsvc.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Program Files\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Program Files\Common Files\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Program Files\Common Files\TerraTec\Scheduler\TTTimer.exe
O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Program Files\Common Files\TerraTec\Remote\TTTVRC.exe
O4 - HKLM\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\Run: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\Run: [Microsoft Update] winamp.exe
O4 - HKLM\..\Run: [WindowsRegKey update] WINUPDATE.EXE
O4 - HKLM\..\Run: [SYSTEM] lsas.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKLM\..\RunServices: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\RunServices: [Microsoft Update] winamp.exe
O4 - HKLM\..\RunServices: [WindowsRegKey update] WINUPDATE.EXE
O4 - HKLM\..\RunServices: [SYSTEM] lsas.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] PDSched.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [WindowsRegKey update] WINUPDATE.EXE
O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKCU\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKCU\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKCU\..\Run: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKCU\..\Run: [Microsoft Update] winamp.exe
O4 - HKCU\..\Run: [SYSTEM] lsas.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/208c58cc...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3DAB7EE-A2CC-4F49-B695-4A414147DDBA}: NameServer = 217.237.150.225 217.237.150.141


Eine Bemerkung noch: berufsbedingt MUSS ich den IE einsetzen, Browserwechsel ist in meinem Fall also keine Option für die Zukunft

Viele Grüße und schon einmal besten Dank

Joschmd

Hab ich bei der Fragestellung etwas falsch gemacht? Keine Antwort ...

Hallo Joschmd,

ich sehe in Deinem Logfile etliche Prozesse, die ich nicht kenne. Soweit Du sie auch nicht kennst, bitte ich Dich, sie mit dem Online-Scan von Kaspersky zu überprüfen:

C:\WINNT\System32\drivers\trcboot.exe
C:\Program Files\C4ebreg\isamsmt.exe
c:\sdwork\issimsvc.exe
C:\PROGRA~1\AT&TNE~1\NetCfgSv.EXE
C:\WINNT\System32\Drivers\ldlcserv.exe
C:\WINNT\system32\ltmsg.exe
C:\WINNT\system32\PRPCUI.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\Sony\SonicStage\Omgjbox.exe
C:\Program Files\c4ebreg\c4ebreg.exe
S3Tray2.exe

Und dann hast Du eine Reihe Probleme auf dem Computer, die Du zwar fixen kannst und auch fixen solltest, aber ich würde Dir vorschlagen zuerst den eScan laufen zu lassen. Die genaue Anleitung findest Du hier: Thread-6083. Lade Dir den eScan - entsprechend der Anleitung - runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Teile uns dann bitte das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:

Erstelle bitte ein weiteres Logfile mit Hijack This und poste es.

Was Du in der Zukunft tun kannst, um Dich sicher mit dem IE im Netz zu bewegen, erfährst Du hier.

Und, nein, Du hast nichts falsch gemacht, bei der Fragestellung. Aber wir, die wir hier die Fragen und Probleme der User bearbeiten, sind entweder berufstätig oder gehen zur Schule oder studieren ... auf jeden Fall können wir alle nicht immer online sein. Auf diese Weise kommt es manchmal zu einer Verzögerung unserer Antworten.

SD

Besten Dank Shadowdance,

die EXEs habe ich überprüft. Hängen alle mit der Installation meines Thinkpads zusammen und sind nach zusätzlicher Überprüfung durch Kaspersky Online Check clean.

hier das e-scan-log:

Fri Sep 17 13:45:48 2004 => ***** Scanning complete. *****
Fri Sep 17 13:45:48 2004 => Total Number of Files Scanned: 69460
Fri Sep 17 13:45:48 2004 => Total Number of Virus(es) Found: 5
Fri Sep 17 13:45:48 2004 => Total Number of Disinfected Files: 0
Fri Sep 17 13:45:48 2004 => Total Number of Files Renamed: 0
Fri Sep 17 13:45:48 2004 => Total Number of Deleted Files: 0
Fri Sep 17 13:45:48 2004 => Total Number of Errors: 3
Fri Sep 17 13:45:48 2004 => Time Elapsed: 01:55:39
Fri Sep 17 13:45:48 2004 => Virus Database Date: 2004/09/17
Fri Sep 17 13:45:48 2004 => Virus Database Count: 104087

Hier die gefundenen Viren:

File C:\Daten\install\DivX\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\8NIZA1IX\MediaTicketsInstaller[1].cab tagged as not-a-virus:AdvWare.MediaTickets.d. No Action Taken.
File C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\QXWVIPS5\MediaTicketsInstaller[1].cab tagged as not-a-virus:AdvWare.MediaTickets.d. No Action Taken.
File C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\QXWVIPS5\MediaTicketsInstaller[2].cab tagged as not-a-virus:AdvWare.MediaTickets.d. No Action Taken.
File C:\w2kdrive\repos\DIALER\IGD4231.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.


Leider verstehe ich die Auswertung nicht ganz. E-Scan findet scheinbar 5 Viren, tut aber nichts, weil sie als "not-a-virus" getagged sind? Hast Du eine Idee?

Und hier das Log von HJT. Sieht eigentlich OK aus, das war aber schon einmal der Fall. Kurze Zeit später waren die besagten Reg-Einträge wieder da:

Logfile of HijackThis v1.98.2
Scan saved at 14:00:33, on 17.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\System32\drivers\trcboot.exe
C:\Program Files\IBM\Personal Communications\PCS_AGNT.EXE
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\C4ebreg\isamsmt.exe
c:\sdwork\issimsvc.exe
C:\PROGRA~1\AT&TNE~1\NetCfgSv.EXE
C:\Program Files\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\Drivers\ldlcserv.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\Explorer.EXE
C:\Program Files\c4ebreg\c4ebreg.exe
C:\Program Files\NavNT\vptray.exe
C:\WINNT\system32\ltmsg.exe
C:\WINNT\system32\S3Tray2.exe
C:\WINNT\system32\tp4serv.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINNT\system32\PRPCUI.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Lexmark X6100 Series\lxbfbmgr.exe
C:\Program Files\Common Files\InterVideo\SchSvr\SchSvr.exe
C:\Program Files\Lexmark X6100 Series\lxbfbmon.exe
C:\Program Files\Common Files\TerraTec\Scheduler\TTTimer.exe
C:\Program Files\Common Files\TerraTec\Remote\TTTVRC.exe
C:\WINNT\system32\internat.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Download\HijackThis.exe
C:\WINNT\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [iamapp] "C:\Program Files\Symantec_Desktop_Firewall\IAMAPP.EXE"
O4 - HKLM\..\Run: [C4EBReg] "C:\Program Files\c4ebreg\c4ebreg.exe" /q
O4 - HKLM\..\Run: [ISAM SMT Service] "C:\Program Files\C4ebreg\isamsmt.exe"
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [ConfigSafe] C:\CFGSAFE\NTFSCLUP.EXE
O4 - HKLM\..\Run: [CSScheduleCheck] C:\CFGSAFE\SCHWIZEX.EXE -CHECK
O4 - HKLM\..\Run: [ISSI EZUpdate Service] "c:\sdwork\issimsvc.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Program Files\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Program Files\Common Files\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Program Files\Common Files\TerraTec\Scheduler\TTTimer.exe
O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Program Files\Common Files\TerraTec\Remote\TTTVRC.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/208c58cc...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3DAB7EE-A2CC-4F49-B695-4A414147DDBA}: NameServer = 217.237.150.225 217.237.150.141

War mir schon klar, dass Ihr keine hauptberuflichen Trojanerjäger seid (obwohl ich mir vorstellen kann, dass viele von Malware geplagte User gerne einen Obulus für die erfolgreiche Lösung ihrer Probleme entrichten würden - ich inklusive).
Es gab nur andere Threads, die viel später geposted, aber früher beantwortet woren sind. Deshalb, hatte ich befürchtet gegen irgendeine rule verstoßen zu haben. Umso mehr freue ich mich, dass Du Dich der Sache angenommen hast.

Nochmals besten Dank

Joschmd

Lösche deine temporären Dateien inklusive der Intenetfiles, per Hand oder mit www.clearprog.de

Deaktiviere die Systemwiederherstellung:

http://www.systemwiederherstellung-d...indows-xp.html

Fixe mit HJT:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/208c58c...RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

Reboote und aktiviere die Systemwiederherstellung.

E-Scan findet auch Dateien, die beispielsweise bei Ausführung ein Reboot benötigen, achtet sozusagen auch auf potentiell gefährliche Dateien, die aber als "nicht-Virus" gekennzeichnet werden. Wobei es mich wundert, dass Mediatickets nicht gelöscht wird, wobei die Frage wäre, ob du im abgesicherten Modus gescannt hast.

Hallo Mountainking,

zu 1. mit clearprog erledigt.

zu 2. und 4. Ich benutze W2K

zu 3. erledigt:

Logfile of HijackThis v1.98.2
Scan saved at 16:08:57, on 17.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\System32\drivers\trcboot.exe
C:\Program Files\IBM\Personal Communications\PCS_AGNT.EXE
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\C4ebreg\isamsmt.exe
c:\sdwork\issimsvc.exe
C:\PROGRA~1\AT&TNE~1\NetCfgSv.EXE
C:\Program Files\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\Drivers\ldlcserv.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\Explorer.EXE
C:\Program Files\c4ebreg\c4ebreg.exe
C:\Program Files\NavNT\vptray.exe
C:\WINNT\system32\ltmsg.exe
C:\WINNT\system32\S3Tray2.exe
C:\WINNT\system32\tp4serv.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINNT\system32\PRPCUI.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Lexmark X6100 Series\lxbfbmgr.exe
C:\Program Files\Common Files\InterVideo\SchSvr\SchSvr.exe
C:\Program Files\Lexmark X6100 Series\lxbfbmon.exe
C:\Program Files\Common Files\TerraTec\Scheduler\TTTimer.exe
C:\Program Files\Common Files\TerraTec\Remote\TTTVRC.exe
C:\WINNT\system32\internat.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\WINNT\system32\NOTEPAD.EXE
E:\Download\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [iamapp] "C:\Program Files\Symantec_Desktop_Firewall\IAMAPP.EXE"
O4 - HKLM\..\Run: [C4EBReg] "C:\Program Files\c4ebreg\c4ebreg.exe" /q
O4 - HKLM\..\Run: [ISAM SMT Service] "C:\Program Files\C4ebreg\isamsmt.exe"
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [ConfigSafe] C:\CFGSAFE\NTFSCLUP.EXE
O4 - HKLM\..\Run: [CSScheduleCheck] C:\CFGSAFE\SCHWIZEX.EXE -CHECK
O4 - HKLM\..\Run: [ISSI EZUpdate Service] "c:\sdwork\issimsvc.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Program Files\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Program Files\Common Files\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Program Files\Common Files\TerraTec\Scheduler\TTTimer.exe
O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Program Files\Common Files\TerraTec\Remote\TTTVRC.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3DAB7EE-A2CC-4F49-B695-4A414147DDBA}: NameServer = 217.237.150.225 217.237.150.141


By the way, ist mir etwas interessantes (?) aufgefallen. Für mehrere Stunden (ich checke immer mal wieder mit HJT) bleibt meine Reg von den fraglichen Einträgen

...
O4 - HKLM\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\Run: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\Run: [Microsoft Update] winamp.exe
O4 - HKLM\..\Run: [WindowsRegKey update] WINUPDATE.EXE
O4 - HKLM\..\Run: [SYSTEM] lsas.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKLM\..\RunServices: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\RunServices: [Microsoft Update] winamp.exe
O4 - HKLM\..\RunServices: [WindowsRegKey update] WINUPDATE.EXE
O4 - HKLM\..\RunServices: [SYSTEM] lsas.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] PDSched.exe
etc.

verschont. Sobald ich aber AD-Watch (damit wollte ich die Kiste zusätzlich vernageln) starte, geht es los: einige Sekunden nach dem Start meldet Ad-Watch den Versuch die o.g. Einträge in der Reg vorzunehmen.
Es kommt noch besser: Bisher habe ich den Ad-Watch Alarm immer mit "Block" quittiert - mit dem Ergebnis, dass die Einträge nach Kontrolle mit HJT trotzdem wieder in der Reg standen. Spaßeshalber habe es eben umgekehrt gemacht und den Zugriff erlaubt - diesmal war die Reg clean.

Bin ich jetzt paranoid oder habt Ihr so etwas schon einmal gehört? Ich würde ja glauben, dass ich mir eine verseuchte Version von Ad-Watch eingefangen habe, aber nach dem Ergebnis des e-Scan ist das doch recht unwahrscheinlich. Oder?

Danke für Deine/Eure Antwort

Joschmd

Du bist keineswegs paranoid, sondern hattest/hast mehrere Trojanische Pferde im System, die Angreifern die Möglichkeit zur weitgehend unbeschränkten Manipulation desselben gegeben haben. Was ein potentieller Angreifer mit diesen Möglichkeiten gemacht hat, ist nicht mehr mit "normalen" Mitteln nachzuvollziehen bzw. zu bereinigen, die gefundenen und entfernten Trojaner können problemlos nur als Einfallstor gedient haben, während inzwischen Systemdateien verändert wurden, unsichtbare Verzeichnisse eingerichtet sind und vieles andere mehr. Die einzige und schnellste Möglichkeit, ein definitiv wieder vertrauenswürdiges System zu erhalten, ist daher eine Neuinstallation.

http://oschad.de/wiki/index.php/Kompromittierung

http://www.mathematik.uni-marburg.de...ompromise.html

Danke Dir Mountainking,

die Kiste sollte sowieso in nächster Zeit ein Update auf XP bekommen. Dann mache ich sie eben komplett platt und führe eine Neuinstallation from scratch mit allen Patches usw. durch. Wie schon gesagt komme ich um den IE vorerst berufsbedingt nicht drumherum. Und so lange muss ich trotz Antivir und Firewall etc. etc. wohl immer mal mit bösen Überraschungen rechnen (wobei man im Netz eben nie wirklich sicher ist).

Bis dahin bin ich aber wohl fürs Erste zumindest die Symptome des Angriffs los. Dafür möchte ich allen im Trojaner-Board engagierten Helfern ganz herzlich danken. Wenn diese ganze Malware-Sch... etwas Gutes hat, dann dass sich solche Communities zusammenfinden. Ich wünsche Euch alles Gute.

Joschmd

Hier gibt es eine Anleitung zur sichereren Konfiguration des IE:

http://www.datenschutzzentrum.de/sel...sie/config.htm

Prinzipiell lässt sich durch regelmäßige Updates und entsprechende Einstellungen, speziell der aktiven Inhalte, auch der IE verhältnismäßig sicher machen. Im Gegensatz zu weitverbreiteten Glauben sind Schädlinge, die sich "einfach so" auf dem eigenen Rechner installieren, sehr selten, bei einem richtig konfigurierten System auf aktuellem Patchstand blieben da eigentlich nur bisher unerkannte Schwachstellen im System und das ist, wie gesagt, in der Realität eher selten, meist wird eine Schwachstelle bekannt und erst danach tauchen die ersten Viren auf, die sie ausnutzen, wie bei Sasser.

Die erdrückende Mehrzahl infizierter Rechner ist aufgrund des Fehlverhaltens der User in diesem Zustand, die die Schädlinge entweder aktiv oder passiv selbst ins Haus geholt/gelassen haben.
Deswegen, wenn du XP installierst, hole dir vorher service Pack 2 auf CD und installieren den gleich noch vor dem ersten Onlinegehen, aktiviere die interne Firewall für die Verbindung und hol die neuesten Patches, so viele dürften das dann nicht sein. Schalte unnötige Dienste ab (www.dingens.org) konfiguriere die Programme so, dass sie keine aktiven Inhalt ausführen und natürlich ist imemr Vorsicht bei mails und bestimmten Seiten geboten, aber bei beachten der Grundregeln ist die Wahrscheinlichkeit unliebsamer Überraschungen im Grunde ziemlich gering, es muss halt imemr der Hintergrundwächter von brain 2.0 mitlaufen, der ist wesentlich als ein Virenscanner (kann man haben) oder Firewall (eigentlich überflüssig).