Also ich habe seit zwei Tagen Malware/einen Trojaner auf dem PC, den ich ums Verrecken nicht wegbekomme.
Dabei öffnet mein Hauptbrowser Opera alle paar Stunden immer wieder ungewollt mehrere Tabs mit Werbeseiten. Einige davon wollen PDF's öffnen, bei manchen Seiten kommt, wenn die Seite aufgerufen wird, bei mir die Fehlermeldung, dass das Programm nicht gestartet werden könne, da msvcr71.dll fehle. Teilweise wurde ich auch bei Google-Links auf Werbeseiten weitergeleitet, das passiert mittlerweile aber nicht mehr.

Seiten, die geöffnet werden sind z.B.:

http://newcheckonline.info/antivirus//?aff_id=252&aff_Aid=20268&ref

http://67.201.36.16/nolink.html

http://mtm4cbk.info/naft1/

http://www.bu520.com/adsDirect.php?cid=9376039&id=Ulrich&sid=110305&ref=http://pricingcentral.com

http://globalwarmingvase.info/traff/index.html

Dazu noch aus Stichworten meiner vorherigen Google-Suchen generierten Google-Seiten.


Habe mittlerweile Adaware, Malwarebytes, SDFix, Spybot, Combofix, Anti-Trojan, AVira Anti-Rootkit und SuperAnti Spyware sowie Free-AV Antivirus drüberlaufen lassen. Manche haben nix gefunden, manche haben was gefunden und auch entfernt, nur dieses eine Problem mit den Webseiten bekomme ich nicht weg. Nachdem ich die Scanner habe drüber laufen lassen war das Problem für einige Stunden gelöst, dann kommt es zurück. Dazu habe ich laut DU Meter ständig höheren Traffic, auch wenn ich nichts mache.


Das Hijack-This Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:04:28, on 04.11.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Programme\ATI\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
C:\Programme\DAEMON Tools Lite\DTLite.exe
C:\Programme\ATI\ATI.ACE\Core-Static\CCC.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Java\jre6\bin\java.exe
C:\Windows\system32\conhost.exe
C:\Programme\Vuze\Azureus.exe
C:\Programme\Java\jre6\bin\javaw.exe
C:\Windows\explorer.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\Common Files\Adobe\Updater6\Adobe_Updater.exe
C:\Programme\DU Meter\dumeter .exe
C:\Programme\Opera 10\opera.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RtHDVCpl] C:\Programme\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~3\MICROS~2\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O9 - Extra button: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file)
O9 - Extra 'Tools' menuitem: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{563FFA20-4E73-4048-B140-9CA7D2D0E031}: NameServer = 128.176.0.12,128.176.0.13
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\Windows\System32\acaptuser32.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: DU Meter Service (DUMeterSvc) - Hagel Technologies Ltd - C:\Programme\DU Meter\DUMeterSvc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

--
End of file - 4747 bytes


Hinweis: 128.176.0.12,128.176.0.13 sind die IP-Adressen, die ich von meinem Inetprovider(Uni) eintragen musste.

Du hättest ja wenigstens Word vorm Scannen beenden können.

Der einzige Hinweis ist "C:\Windows\system32\conhost.exe".

Evtl. mal im Taskmanager beenden und ausprobieren.

Vorsicht! Diese Datei ist auch eine Systemdatei von Windows 7.

Danke für die Hilfe. Hab Windows 7, insofern scheint sie ok zu sein.

Hab jetzt nochmal gesucht mit Google und etliche Threads von Leuten gefunden, die auch dasselbe Problem haben, gerade wo sich auch z.B. diese http://67.201.36.16/nolink.html Seite bei allen ungewollt öffnet. Auch da wusste niemand eine Lösung, auch bei bleepingcomputer etc nicht, auch dort wurden alle Programme durchprobiert, ohne Erfolg. Die Threads sind alle jetzt von Anfang November, den letzten 2-5 Tagen. Sollte also ein ziemlich neuer Schädling sein, hoffe da tut sich in den nächsten Tagen was.

Hiho,

ich habe das gleiche Problem. Bzw. hatte es, allerdings mit Firefox (wobei ich annehme, dass der Trojaner/Spyware sich einfach den Default-Browser zunutze macht). Nachdem alle Reinigungen (CCleaner, MBM, MBR neu geschrieben, Hidden Entries aus der Registry entfernt, externer Scan (Knoppicilin) mit Antivir, Kaspersky, Bitdefender, und ein paar Spezialbehandlungen) alles solches Ungeziefer entfernt hatte, was von diesen Spamseiten kam, blieben nur noch Windows-Standardprozesse übrig... Irgendwo, in einem von diesen muss der Unhold stecken...

Ich habe nun auf mein Backup-Windows gewechselt. Und werde die infizierte Installation komplett plätten. Inkl. Überschreiben der Festplatte und neuem MBR. Nervig, das...

Aus purer Neugierde (ich hatte schon etliche Stunden in dieses Thema investiert): Gibt es zu diesem Thema etwas Neues?

Gruß,

swabedoo