Hallo Zusammen,

da gibt man teures Geld für Norton Internet Security Prof. aus, nur um festzustellen dass der M... auch nicht viel besser ist als andere Software (z.B. Freeware).
Alles begann eines Tages (letzte Woche) damit, das ich ein txt-File mit Notepad.exe öffnen wollte und das nicht ging.
Keine txt-Files liessen sich mehr öffnen.
Stattdessen tauchten "seltsame" Prozesse auf und NAV und NIS wurden "einfach so" beendet.
Starten, neu installieren liess sich das Symantec-Zeugs auch nicht mehr.

Die Dateien der "seltsamen" Prozesse waren schnell in c:\windows gefunden,
aber seltsamerweise blieb auch die Suche mit anderen Virenscannern (Antivir, F-Prot, eScan, Kaspersky, usw.) erfolglos.
Erstaunlicherweise brachte der "Online-Scan" bei http://www.kaspersky.com/scanforvirus den "Erfolg".

Hier die Auflistung der Dateien/Viren:

iau.exe - infected by TrojanProxy.Win32.Agent.bs
lssas.exe - infected by TrojanDownloader.Win32.Small.bj
mservice.exe - infected by TrojanDownloader.Win32.Small.bj
msqdevl.exe - infected by TrojanDownloader.Win32.Small.bj
stisvsq.exe - infected by TrojanDownloader.Win32.Small.bj
svshost.exe - infected by TrojanDownloader.Win32.Small.bj

Das Löschen der Dateien brachte leider keinen Erfolg, denn sie waren schneller wieder da als man gucken konnte.
Ich habe dann mal das Windows-Verzeichnis nach "aktuellen" Dateien durchsucht und tatsächlich ein File gefunden das relativ "neu" war.
-Fortsetzung folgt-

- Fortsetzung -
Nachdem ich die Datei x.cab gelöscht hatte, liessen sich auch die verseuchten Dateien problemlos löschen und sie kamen auch nicht mehr wieder.
Auch den vermutlich ursprünglichen Übeltäter konnte ich dann löschen, denn neben der nicht funktionierenden notepad.exe befand sich auch eine Datei notepad.exe.tmp auf dem Rechner.
Ich hab dann nochmal sämtliche Virenscanner drüberlaufen lassen und komischerweise wurde eScan nun bei anderen Dateien fündig (ob das irgendwie vorher geblockt wurde?).
Die übrigen Virenscanner blieben aber auch weiterhin erfolglos.
Log-File von eScan (auszugsweise):
C:\WINDOWS\notepad.exe.tmp infected by "TrojanDropper.Win32.Small.ja" Virus.
C:\WINDOWS\System32\remove_me.dll infected by "Trojan.Win32.StartPage.ld" Virus.
C:\Dokumente und Einstellungen\Buttermaker\Lokale Einstellungen\Temp\abpf.dat infected by "TrojanDropper.Win32.Small.ja" Virus.
C:\Dokumente und Einstellungen\Buttermaker\Lokale Einstellungen\Temporary Internet Files\Content.IE5\09WPQ74T\object2[1].hta infected by "TrojanDropper.JS.Small.g" Virus.
C:\Dokumente und Einstellungen\Buttermaker\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4T0BORCR\wininet32[2].exe infected by "TrojanProxy.Win32.Agent.bs" Virus.
C:\Dokumente und Einstellungen\Buttermaker\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C7L3MA79\object2[1].hta infected by "TrojanDropper.JS.Small.g" Virus.
C:\Dokumente und Einstellungen\Buttermaker\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EH8FAXI5\object2[2].hta infected by "TrojanDropper.JS.Small.g" Virus.
C:\Dokumente und Einstellungen\Buttermaker\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IJQNMDMN\wininet32[4].exe infected by "TrojanProxy.Win32.Agent.bs" Virus.
C:\RECYCLER\S-1-5-21-682003330-839522115-1060284298-1003\Dc2.exe infected by "TrojanProxy.Win32.Agent.bs" Virus.

Nachdem nun (hoffentlich) alle Viren wech sind bleiben nur noch zwei (oder gehören die zusammen?) Browser-Hijacker.

- Fortsetzung folgt -

- Fortsetzung (die Letzte) -

Hier das HiJackThis-Log-File:

Logfile of HijackThis v1.98.2
Scan saved at 17:37:55, on 14.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security Professional\NISUM.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Internet Security Professional\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\noHTML für Outlook Express\bxOEPlugin.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\Microsoft Office\Office\OSA9.EXE
C:\Programme\ShortCut\ShortCut.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis 1.97.7\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=120&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=120&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [oeplugin] C:\Programme\noHTML für Outlook Express\bxOEPlugin.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: ShortCut.lnk = C:\Programme\ShortCut\ShortCut.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ShortCut.lnk = C:\Programme\ShortCut\ShortCut.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Artikel überwachen - {711E941A-59B6-45E0-8F3B-3DA9738242D2} - C:\Programme\etope\global\vbs\sendtowatch.vbs
O9 - Extra 'Tools' menuitem: Artikel überwachen - {711E941A-59B6-45E0-8F3B-3DA9738242D2} - C:\Programme\etope\global\vbs\sendtowatch.vbs
O9 - Extra button: etope Bietagent - {EAB73FC0-2028-42F2-B835-0E09FE5A3FED} - C:\Programme\etope\global\vbs\sendtobidder.vbs
O9 - Extra 'Tools' menuitem: Artikel in den etope Bietagent - {EAB73FC0-2028-42F2-B835-0E09FE5A3FED} - C:\Programme\etope\global\vbs\sendtobidder.vbs
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=120&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=120&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=120&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=120&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=120&q=
O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll

Ich hoffe, dass ihr mir dabei weiterhelfen könnt, denn auch wenn ich im abgesicherten Modus R1 und R0 sowie O13 fixen lasse, nach einem Neutsart sind die gefixten Einträge wieder vorhanden.

Schöne Grüße

Buttermaker

Fixe zusaätzlich und lösche danach die Datei:
O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll

Hallo Buttermaker,

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com

Da ich aus Deinem Posting nicht entnehmen kann, was Du schon alles gelöscht hast, gebe ich ins Forum, was zu löschen wäre.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=120&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=120&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=120&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=120&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=120&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=120&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=120&q=
O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll

wenn Du diese Prozesse nicht kennst/brauchst, bitte fixen:

O9 - Extra button: Artikel überwachen - {711E941A-59B6-45E0-8F3B-3DA9738242D2} - C:\Programme\etope\global\vbs\sendtowatch.vbs
O9 - Extra 'Tools' menuitem: Artikel überwachen - {711E941A-59B6-45E0-8F3B-3DA9738242D2} - C:\Programme\etope\global\vbs\sendtowatch.vbs
O9 - Extra button: etope Bietagent - {EAB73FC0-2028-42F2-B835-0E09FE5A3FED} - C:\Programme\etope\global\vbs\sendtobidder.vbs
O9 - Extra 'Tools' menuitem: Artikel in den etope Bietagent - {EAB73FC0-2028-42F2-B835-0E09FE5A3FED} - C:\Programme\etope\global\vbs\sendtobidder.vbs

Boote in den normalen Modus.

Lösche den Inhalt der C:\Dokumente und Einstellungen\Buttermaker\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ und C:\Dokumente und Einstellungen\Buttermaker\Lokale Einstellungen\Temp\ - entweder von Hand oder mit dem Clear Prog

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren -> Lösche

C:\WINDOWS\notepad.exe.tmp
(infected by "TrojanDropper.Win32.Small.ja" Virus.)
C:\WINDOWS\System32\remove_me.dll
(infected by "Trojan.Win32.StartPage.ld" Virus.)

Aktiviere die Systemwiederherstellung.
Erstelle ein neues Hijack This Logfile und poste es.

SD