Logfile of HijackThis v1.98.2
Scan saved at 12:48:56, on 14.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\mHotkey.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\WINDOWS\System32\??chost.exe
C:\WINDOWS\CNYHKey.exe
C:\PROGRA~1\ICQPRO~1\ICQ\ICQ.exe
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\Joachim\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=543
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=543
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=543
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=543
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=543
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\LE2WRS~1.DLL
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQPRO~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\Joachim\Anwendungsdaten\soht.exe
O4 - HKCU\..\Run: [Toylbpu] C:\WINDOWS\System32\??chost.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQPRO~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQPRO~1\ICQ\ICQ.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O20 - AppInit_DLLs: f7vhm71j5ry1j.dll

Hallo FoxOne,

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com

Downloade bitte entweder LSP-Fix oder WinsockFix. LSP-Fix oder WinsockFix wirst Du brauchen, wenn Du Einträge von 'Hijacked Internet access by New.Net' löscht. Es kann sein, dass Du dann Probleme hast, ins Netz zu kommen. Mit einem dieser Programme kannst Du diese Probleme beheben. Die zu löschenden Einträge korrumpieren die Winsock dlls, die Windows benötigt um eine Internetverbindung aufzubauen. Um die originalen Dateien wiederherzustellen, WinsockFix oder LSPFix herunterladen, die Internetverbindung trennen und eines der Programme ausführen. Den Rechner neu booten.

---------------

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, fixe mit Hijack This (Häk'chen setzen und auf Fix checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = ht*p://super-spider.com/sp.htm?id=543
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ht*p://super-spider.com/sp.htm?id=543
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://super-spider.com/sp.htm?id=543
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = ht*p://super-spider.com/sp.htm?id=543
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\Joachim\Anwendungsdaten\soht.exe
O20 - AppInit_DLLs: f7vhm71j5ry1j.dll

wenn Du diesen Eintrag nicht kennst/brauchst, bitte fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://win-eto.com/hp.htm?id=543

Boote in den normalen Modus.

Mit LSP-Fix oder WinsockFix löschen:

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

"Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren." ---> Lösche:

soht.exe

Aktiviere die Systemwiederherstellung.

---------------

Downloade das Programm eScan. Erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden, siehe eScan: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!" [Zitat Cidre]

Teile uns das Ergebnis des eScan mit: welche Viren (Namen) wurden auf Deinem Rechner gefunden. Erstelle ein neues Hijack This Logfile und poste es.

SD

Konnte das aktuelle Service Pack nicht runterladen, da der explorer auf
h ttp://t.swapx.cc/h.php?aid=543 wechselt wenn ich auf www.windowsupdate.com klicke.

Hier das aktuelle logfile:

Logfile of HijackThis v1.98.2
Scan saved at 15:15:48, on 14.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\WINDOWS\CNYHKey.exe
C:\PROGRA~1\ICQPRO~1\ICQ\ICQ.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Joachim\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=543
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=543
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=543
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=543
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=543
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\LE2WRS~1.DLL
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQPRO~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQPRO~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQPRO~1\ICQ\ICQ.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O20 - AppInit_DLLs: f7vhm71j5ry1j.dll

virus log information von escan:

File C:\WINDOWS\System32\f7vhm71j5ry1j.dll infected by "TrojanDownloader.Win32.Agent.dg" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\LE2WRS~1.DLL infected by "Trojan.Win32.Krepper.q" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Joachim\LOKALE~1\Temp\118531.tmp infected by "Trojan.Win32.Krepper.q" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Joachim\LOKALE~1\Temp\120718.tmp infected by "Trojan.Win32.Krepper.q" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Joachim\LOKALE~1\Temp\200031.tmp infected by "Trojan.Win32.Krepper.q" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Joachim\LOKALE~1\Temp\202281.tmp infected by "Trojan.Win32.Krepper.q" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\LE2WRS~1.DLL infected by "Trojan.Win32.Krepper.q" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\internet.exe infected by "Trojan.Win32.Dialer.eb" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\p69njiyem6.exe infected by "TrojanDropper.Win32.Agent.ag" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\le2wrs1i970bf.dll infected by "Trojan.Win32.Krepper.q" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\nt6fxxucn7eeczp.bak infected by "Trojan.Win32.Krepper.q" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\toolbar.dll infected by "not-a-virus:AdvWare.Toolbar.ISearch.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\xe034yuzgkmz.bak infected by "TrojanDownloader.Win32.Agent.dg" Virus. Action Taken: No Action Taken.

Fixe:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=543
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=543
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=543
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=543
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=543
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\LE2WRS~1.DLL
O20 - AppInit_DLLs: f7vhm71j5ry1j.dll

Lösche:
f7vhm71j5ry1j.dll
C:\WINDOWS\System32\LE2WRS~1.DLL

- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HijackThis posten

btw: Die gefundene Malware hast du schon manuell im abgescherten Modus entfernt, oder?