Hallo Zusammen,

ich habe eine neue Startseite im IE!
HomeSearch heißt sie , ich kriege sie nicht weg.
Bitte helft mir ( Ich bin verzweifellt, ich schmeiß die Kiste zum Fenster .....)

Mein Logfile:
Logfile of HijackThis v1.98.2
Scan saved at 09:57:57, on 13.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\atlun.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\ZipToA.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\WINNT\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\ntmj32.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\WINNT\system32\cvqekz.exe
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\aair.exe
C:\WINNT\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hohi Dateien\Tools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\ltjqt.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\ltjqt.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\ltjqt.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\ltjqt.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\ltjqt.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\ltjqt.dll/sp.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\ltjqt.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {72CE32E1-CB80-E380-0964-F9A69E4EAA21} - C:\WINNT\system32\sdkse32.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ntmj32.exe] C:\WINNT\ntmj32.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [rirewv] C:\WINNT\system32\cvqekz.exe
O4 - HKCU\..\Run: [Mbar] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\aair.exe
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a29296baabe1d6
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{81D41B97-E8EB-4FE9-AD8E-778BA4CC7A78}: NameServer = 192.168.12.30,194.25.2.129

Hallo hohi2000,

MSIE: Internet Explorer v6.00 (6.00.2600.0000) - update den IE: www.windowsupdate.com

Überprüfe folgende Dateien mit dem Online-Scan von Kaspersky:

C:\WINNT\system32\atlun.exe
C:\WINNT\ntmj32.exe
C:\WINNT\system32\cvqekz.exe
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\aair.exe
C:\WINNT\system32\sdkse32.dll

Teile uns das Ergebnis der Überprüfung mit und sende diese Dateien, wenn sie infiziert sind, an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread.

Boote in den abgesicherten Modus, fixe mit Hijack This:

C:\Program Files\Windows SyncroAd\SyncroAd.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
res://C:\WINNT\ltjqt.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
res://C:\WINNT\ltjqt.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\ltjqt.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\ltjqt.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\ltjqt.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\ltjqt.dll/sp.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\ltjqt.dll/sp.html#37680
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows
SyncroAd\SyncroAd.exe
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...8a29296baabe1d6
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softw...006_regular.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab

boote in den normalen Modus.

"Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren." ---> Lösche:

SyncroAd.exe

Lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht mehr automatisch löscht. Die Malware muß von Hand gelöscht werden, siehe eScan 4.5.1: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden. Erstelle ein neues Logfile mit Hijack This und poste es.

SD

Hallo Shadowdance,

vielen Dank für deine Hilfe.

.......also ich habe meine IE aktualisiert.
Ich habe vorher schon mit a² Virenscanner 27 infizierte Dateien gefunden und repariert.
Meine Startseite gehorcht mir jetzt wieder.
Allerdings bei Eistellungen - Systemsteuerung - Software sind immer noch
Programme von Home Search, die sich nicht deinstallieren lassen.
Ich befürchte, die böse Startseite kommt bald wieder.

Die Überprüfung mit Kasperski Online-Scan gab keine Virenwarnung. ( Es waren jdoch nicht mehr alle von dir aufgezählten Dateien auf meiner Kiste.)

Kannst Du bitte mein neues logfile (noch nicht im abgesicherten Modus) durchschauen, vielleicht wirds schon besser:

Vielen Dank für deine Mühe
hohi2006
Logfile of HijackThis v1.98.2
Scan saved at 15:00:11, on 13.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\ZipToA.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\WINNT\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\WINNT\system32\cvqekz.exe
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\aair.exe
C:\Programme\a2\a2guard.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hohi Dateien\Tools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\ltjqt.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\ltjqt.dll/sp.html#37680
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-tv.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\ltjqt.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\ltjqt.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\ltjqt.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\ltjqt.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O2 - BHO: MultimppObj Class - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - C:\WINNT\multimpp.dll
O2 - BHO: (no name) - {72CE32E1-CB80-E380-0964-F9A69E4EAA21} - C:\WINNT\system32\sdkse32.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ntmj32.exe] C:\WINNT\ntmj32.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [rirewv] C:\WINNT\system32\cvqekz.exe
O4 - HKCU\..\Run: [Mbar] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\aair.exe
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a29296baabe1d6
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{81D41B97-E8EB-4FE9-AD8E-778BA4CC7A78}: NameServer = 192.168.12.30,194.25.2.129

Hallo hohi2000,

was hat denn der eScan angezeigt? hast Du ihn durchgeführt? Kannst Du mir bitte die Namen der Viren angeben, die auf Deinem System gefunden worden sind? Auch die der Viren, die durch a² entfernt worden sind.

SD

@ hohi2000,

Zitat:

Meine Startseite gehorcht mir jetzt wieder.
Allerdings bei Eistellungen - Systemsteuerung - Software sind immer noch
Programme von Home Search, die sich nicht deinstallieren lassen.

das verstehe ich nicht. Warum hast Du noch alle Einträge auf Deinem System? Ich hatte Dich doch gebeten, diese Einträge mit Hijack This im abgesicherten Modus zu fixen?

Na, dann halt noch mal von vorne.

*Christian* hatte mal eine ganz tolle Anleitung zum Programm Hijack This gepostet, aber ich finde sie nicht. Folglich nehme ich diese Anleitung und bitte Dich @ hohi2000, sie Dir gründlich durch zu lesen. Du sollst nämlich analog dieser Anleitung auf Deinem System all die Einträge fixen ... also Häkchen in die Käst'chen vor die Einträge setzen und dann auf "Fix checked" klicken. Das nennt man fixen.

Fixe also bitte im abgesicherten Modus mit Hijack This:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\ltjqt.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\ltjqt.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\ltjqt.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\ltjqt.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\ltjqt.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\ltjqt.dll/sp.html#37680

O2 - BHO: (no name) - {72CE32E1-CB80-E380-0964-F9A69E4EAA21} - C:\WINNT\system32\sdkse32.dll (file missing)
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows
SyncroAd\SyncroAd.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...8a29296baabe1d6
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softw...006_regular.cab

boote in den normalen Modus.

"Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren."

Beende im Taskmanager:
SyncroAd.exe

Erstelle ein neues Hijack This Logfile und poste es.

SD

Hallo Shadowdance,

danke für deine "Tapferkeit", ich geb auch mal ein Bier aus, oder so.

Also, ich habe im Abgesicherten Modus gefixt, dann habe ich im Taskmanager nach SyncrAd.exe gesucht aber nicht gefunden.

a² meldet jetzt ständig: a² hat den Versuch blockiert - ein infiziertes Programm zu starten.
Dateiname: C:\Programme\Web_Rebates\WebRebates1.exe
Diagnose: Spyware.Win32.WebRebates.b

Bei der Suche nach SyncroAd.exe im Taskmanager habe ich diesen WebRebates1.exe übrigens gefunden.

Mein neues logfile:

Logfile of HijackThis v1.98.2
Scan saved at 09:15:49, on 14.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\ZipToA.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\WINNT\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\cvqekz.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\aair.exe
C:\Programme\a2\a2guard.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\WINNT\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hohi Dateien\Tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-tv.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O2 - BHO: MultimppObj Class - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - C:\WINNT\multimpp.dll
O2 - BHO: (no name) - {72CE32E1-CB80-E380-0964-F9A69E4EAA21} - C:\WINNT\system32\sdkse32.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ntmj32.exe] C:\WINNT\ntmj32.exe
O4 - HKLM\..\Run: [rirewv] C:\WINNT\system32\cvqekz.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKCU\..\Run: [Mbar] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\aair.exe
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{81D41B97-E8EB-4FE9-AD8E-778BA4CC7A78}: NameServer = 192.168.12.30,194.25.2.129

wirds schon besser?
Vielen Dank für deine Mühe
hohi2000

Hallo hohi2000,

man kann einem User nur insoweit helfen, als der User bereit ist, Tipps und Rat anzunehmen. Du beantwortest meine Fragen nicht.

Hast Du den eScan nun entsprechend der Anleitung laufen lassen? Welche Viren hat er gefunden? Nenne uns bitte die Namen. Der aktuelle eScan löscht die gefundene Malware nicht, das muss von Hand gemacht werden. Solltest Du ein Interesse daran haben, wie man das macht, lass es uns wissen.

Fixe mit Hijack This offline im abgesicherten Modus:

O2 - BHO: (no name) - {72CE32E1-CB80-E380-0964-F9A69E4EAA21} - C:\WINNT\system32\sdkse32.dll (file missing)
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab

Boote in den normalen Modus.

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren -> beende:

WebRebates0.exe
WebRebates1.exe

Lösche:
C:\Programme\Web_Rebates\WebRebates0.exe
C:\Programme\Web_Rebates\WebRebates1.exe

Erstelle ein neues Hijack This Logfile und poste es. Teile uns im selben Posting das Ergebnis des eScan mit.

SD

Hallo Shadowdance,

sorry, ist keine Absicht, eher "Dummheit vor der Kiste".

Ich glaube, jetzt habe ich alles richtig gemacht.
(Hatte mit dem kopieren der infizierten Dateien in eScan so meine Probleme.

Vielleicht kannst Du nochmal schauen, bitte:

Mein Hijack Logfile:
Logfile of HijackThis v1.98.2
Scan saved at 12:44:02, on 15.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\ZipToA.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\WINNT\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\cvqekz.exe
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\aair.exe
C:\Programme\a2\a2guard.exe
C:\WINNT\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hohi Dateien\Tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-tv.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O2 - BHO: MultimppObj Class - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - C:\WINNT\multimpp.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [rirewv] C:\WINNT\system32\cvqekz.exe
O4 - HKCU\..\Run: [Mbar] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\aair.exe
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O17 - HKLM\System\CCS\Services\Tcpip\..\{81D41B97-E8EB-4FE9-AD8E-778BA4CC7A78}: NameServer = 192.168.12.30,194.25.2.129

Und die infizierten Dateien, die eScan gefunden hat:

Fri Oct 15 10:39:56 2004 => **********************************************************
Fri Oct 15 10:39:56 2004 => eScan AntiVirus Toolkit Utility.
Fri Oct 15 10:39:56 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Fri Oct 15 10:39:56 2004 =>
Fri Oct 15 10:39:56 2004 => Support: support@mwti.net
Fri Oct 15 10:39:56 2004 => Web: http://www.mwti.net
Fri Oct 15 10:39:56 2004 => **********************************************************
Fri Oct 15 10:39:56 2004 => Version 4.5.4 (C:\Bases\mwav\mwavscan.com)
Fri Oct 15 10:39:56 2004 => Log File: C:\Bases\mwav\mwav.log
Fri Oct 15 10:39:56 2004 => Latest Date of files inside MWAV: 12 Oct 2004 17:00:48.


Fri Oct 15 10:40:32 2004 => File C:\WINNT\system32\cvqekz.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.


Fri Oct 15 10:40:33 2004 => File C:\DOKUME~1\ADMINI~1\ANWEND~1\aair.exe infected by "not-a-virus:AdvWare.PurityScan.w" Virus. Action Taken: No Action Taken.


Fri Oct 15 10:40:47 2004 => File C:\WINNT\ltjqt.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.


Fri Oct 15 10:40:47 2004 => File C:\WINNT\multimpp.dll infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: No Action Taken.

Fri Oct 15 10:40:50 2004 => File C:\WINNT\twaintec.dll infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: No Action Taken.

Fri Oct 15 10:41:05 2004 => File C:\WINNT\system32\cvqekz.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.


Fri Oct 15 10:41:07 2004 => File C:\WINNT\system32\d2kpax.exe infected by "Trojan.Win32.Dialer.bh" Virus. Action Taken: No Action Taken.

Fri Oct 15 10:43:24 2004 => File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\aair.exe infected by "not-a-virus:AdvWare.PurityScan.w" Virus. Action Taken: No Action Taken.


Fri Oct 15 10:44:10 2004 => File C:\Dokumente und Einstellungen\Administrator\Desktop\hohi Dateien\Tools\backups\backup-20041014-090221-213.dll infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: No Action Taken.


Fri Oct 15 10:44:10 2004 => File C:\Dokumente und Einstellungen\Administrator\Desktop\hohi Dateien\Tools\backups\backup-20041014-090221-254.dll infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: No Action Taken.

Fri Oct 15 10:44:34 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ICD6.tmp\SyncroAdX.dll infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: No Action Taken.


Fri Oct 15 10:44:34 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\iinstall.exe infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.


Fri Oct 15 10:44:37 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\optimize.exe infected by "TrojanDownloader.Win32.Dyfuca.da" Virus. Action Taken: No Action Taken.


Fri Oct 15 10:44:39 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\sidefind.exe infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.


Fri Oct 15 10:44:40 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\THI4BA9.tmp\multimpp.dll infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: No Action Taken.

Fri Oct 15 10:44:40 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\THI5CDE.tmp\multimpp.dll infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: No Action Taken.


Fri Oct 15 10:44:40 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\THI67CC.tmp\polall1m.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.


Fri Oct 15 10:44:41 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\THI67CC.tmp\twaintec.dll infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: No Action Taken.


Fri Oct 15 10:44:41 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\THI6AC8.tmp\polall1m.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.


Fri Oct 15 10:44:41 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\THI6AC8.tmp\twaintec.dll infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: No Action Taken.

Fri Oct 15 10:47:57 2004 => File C:\Program Files\Internet Optimizer\actalert.exe infected by "TrojanDownloader.Win32.Dyfuca.cr" Virus. Action Taken: No Action Taken.


Fri Oct 15 10:47:57 2004 => File C:\Program Files\Internet Optimizer\optimize.exe infected by "TrojanDownloader.Win32.Dyfuca.da" Virus. Action Taken: No Action Taken.

Fri Oct 15 10:47:57 2004 => File C:\Program Files\Internet Optimizer\update\actalert.exe infected by "TrojanDownloader.Win32.Dyfuca.cr" Virus. Action Taken: No Action Taken.

Fri Oct 15 10:47:57 2004 => File C:\Program Files\Windows SyncroAd\CComm.dll infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: No Action Taken.


Fri Oct 15 10:47:57 2004 => File C:\Program Files\Windows SyncroAd\SyncroAd.exe infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: No Action Taken.


Fri Oct 15 10:53:40 2004 => File C:\Programme\Web_Rebates\disp1150.exe infected by "not-a-virus:AdvWare.WebRebates.c" Virus. Action Taken: No Action Taken.


Fri Oct 15 10:53:41 2004 => File C:\Programme\Web_Rebates\Sy1150\Tp1150\topr1150_smd.exe infected by "not-a-virus:AdvWare.WebRebates.c" Virus. Action Taken: No Action Taken.


Fri Oct 15 10:53:49 2004 => File C:\Q20604.exe infected by "TrojanDownloader.Win32.WinShow.af" Virus. Action Taken: No Action Taken.

Fri Oct 15 10:53:55 2004 => File C:\TEMP\Installer2.exe infected by "TrojanDropper.Win32.Delf.z" Virus. Action Taken: No Action Taken.


Fri Oct 15 10:53:55 2004 => File C:\TEMP\WebRebates_Auto_InstallSilent_Euro.exe infected by "not-a-virus:AdvWare.WebRebates.b" Virus. Action Taken: No Action Taken.


Fri Oct 15 11:01:24 2004 => File C:\WINNT\Downloaded Program Files\MediaTicketsInstaller.ocx infected by "not-a-virus:AdvWare.MediaTickets.f" Virus. Action Taken: No Action Taken.


Fri Oct 15 11:03:23 2004 => File C:\WINNT\ltjqt.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Fri Oct 15 11:03:27 2004 => File C:\WINNT\multimpp.dll infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: No Action Taken.


Fri Oct 15 11:05:24 2004 => File C:\WINNT\system32\cvqekz.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.


Fri Oct 15 11:05:25 2004 => File C:\WINNT\system32\d2kpax.exe infected by "Trojan.Win32.Dialer.bh" Virus. Action Taken: No Action Taken.


Fri Oct 15 11:10:10 2004 => File C:\WINNT\twaintec.dll infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: No Action Taken.




Fri Oct 15 11:10:16 2004 => Scan Completed.

Vielen Dank für deine Mühe
hohi2000

Hallo hohi2000,

gib Dein Logfile bitte in die automatische Auswertung: http://www.hijackthis.de/index.php. Die gelben Fragezeichen zeigen Dir die Einträge, die unbekannt sind. Bis auf diese Einträge ist Dein Logfile jetzt sauber.

Du hast eine ziemliche Anzahl Malware auf Deinem System. Lade Dir das Clear Prog runter. Reinige damit die Ordner C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ und C:\TEMP\ sowie Temporary Internet Files.

Lade Dir hier Spybot-Search & Destroy 1.3 runter, scanne damit Deinen Rechner und lass etliche Probleme damit beheben.

Und dann kommt die Handarbeit. Du hast mindestens einen Dialer auf dem System, den Du eventuell auf Diskette kopieren und sichern solltest, abhängig von der Art, wie Du auf's Netz gehst. Wenn Du DSL/ADSL hast, kann Dir ein Dialer nicht schaden.

Alle Einträge, die noch übrig sind, musst Du von Hand löschen. Deaktiviere dazu die Systemwiederherstellung(!): "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre]

Nimm Dir Zeit dazu und teile uns mit, wenn Du damit fertig bist.
Viel Erfolg!

SD

Hallo Shadowdance,

danke für deine Geduld.
Ich versuche jetzt alles nach deinen Angaben durchzuarbeiten.
.... Aber, weil ich nicht unbedingt ein Computerspezialist bin, stellen sich mir schon noch Fragen:

Die Einträge mit den gelben Fragezeichen bei der automatischen Abfrage meines HijackThis logfiles, darf ich die löschen?

Mit dem ClearProg konnte ich die Tempory Internetfiles zwar löschen, aber ich
habe die Ordner C:\ Dokumente .... und C:\Temp nicht gefunden.
Vielleicht kannst du mir da noch einen Tipp geben.

Spybot war kein Problem, das habe ich hinbekommen.

Wenn ich die gefundenen Treffer von eScan lösche, kann ich dabei etwas falsch machen und wie finde ich den Dialer?

Kannst du mir da bitte noch helfen.

Vielen Dank für deine Mühe
hohi2000

Hallo hohi2000,

ich frage mich gerade, ob es überhaupt zu verantworten ist, wenn wir, bzw. wenn ich Dich berate, wie Du diese Malware von Deinem System entfernen sollst. Du solltest von der Tatsache ausgehen, dass Dein Betriebssystem kompromittiert ist. Du hast verschiedene Trojanersorten auf dem System:

Zitat:

"TrojanDownloader.Win32.WinShow.ak", "TrojanDownloader.Win32.Agent.ae", "TrojanDownloader.Win32.IstBar.gen", "TrojanDownloader.Win32.Dyfuca.da"

Dazu Information von Sophos Virenlexikon:
Troj/Winshow-, Troj/Agent-, TrojanDownloader.Win32.IstBar.gen, TrojanDownloader.Win32.Dyfuca.-.

Die genannten Trojaner, die Du auf dem System hast, gehören von der Familie her zu den hier aufgeführten Trojanern. Allen ist gemeinsam, dass sie sehr unangenehm sind. Man sollte sie nicht auf dem System haben. Sie können zum Teil sehr gefährlich sein.

"Trojan.Win32.Dialer.bh" ist ein Dialer - Information dazu: www.dialerschutz.de

Zitat:

Mit dem ClearProg konnte ich die Tempory Internetfiles zwar löschen, aber ich habe die Ordner C:\ Dokumente .... und C:\Temp nicht gefunden.

"Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren"

Ich möchte noch gerne ein paar andere Meinungen zu Deinem Problem lesen. Ich weiss nicht, ob es zu verantworten ist, Dir zu empfehlen, Dein System zu säubern. Vielleicht wäre es besser, Dir zu empfehlen, Dein System zu formatieren und neu aufzusetzen.

Bitte schau immer mal wieder in Deinen Thread.

SD

Hallo Shadowdance,

hört sich nicht gut an für meine Kiste.
Wobei, rein äußerlich scheint jetzt wieder alles ok zu sein.

Was kann denn bei meiner Verseuchung schlimmstenfalls passieren?

Ich lass ihn jetzt mal so laufen und sage dir Bescheid, wenn sich wieder was tut.
Wenn du noch hilfreiche Infos für mich hast, wäre super.

vielen Dank für deine Mühe
hohi2000

@ hohi2000

Zitat:

Zitat von hohi2000

[..] noch Fragen:
Die Einträge mit den gelben Fragezeichen bei der automatischen Abfrage meines HijackThis logfiles, darf ich die löschen?

wenn Du die Einträge/Prozesse nicht kennst/brauchst: ja

Zitat:

Zitat von hohi2000

Mit dem ClearProg konnte ich die Tempory Internetfiles zwar löschen, aber ich habe die Ordner C:\ Dokumente .... und C:\Temp nicht gefunden. Vielleicht kannst du mir da noch einen Tipp geben.

"Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren"

Zitat:

Zitat von hohi2000

Wenn ich die gefundenen Treffer von eScan lösche, kann ich dabei etwas falsch machen

nicht, wenn Du so vorgehst: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!"

Zitat:

Zitat von hohi2000

und wie finde ich den Dialer?

mal schauen, ob ich ihn finde ...
Fri Oct 15 10:41:07 2004 => File C:\WINNT\system32\d2kpax.exe infected by "Trojan.Win32.Dialer.bh" Virus. Action Taken: No Action Taken.

... wenn sich Deine Kiste nicht gut anhört, solltest Du Dich in dieses Forum begeben: Netzwerk und Hardware

Achja ...;-) Kollege *Christian* meinte, dass wir Dich mit Deinem Computer ziehen lassen können .. ohne formatieren und neuaufsetzen. Also, viel Erfolg weiterhin!

SD

Hallo Shadowdance,

nochmal Vielen Dank.
Ohne Euch und Euere Geduld wäre der "Computerdschungel" für die meisten unüberwindbar!

hohi2000