Zuerst aktivierst du in den Ordneroptionen "Alle Dateien anzeigen" und "Geschützte Systemdateien anzeigen".

Starte deinen PC neu und gehe in den abgesicherten Modus: Drücke beim Starten deines PCs die F8-Taste und wähle den abgesicherten Modus aus.

Dann gehst du über den Explorer in diesen Ordner: C:\WINDOWS\system32

Lösche jetzt diese Dateien:
msjz32.exe
atlbp32.dll

Dann gehst du ins Programm von HijackThis und setzt ein Häckchen von den mir genannten Einträgen und klickst auf "Fix checked".

Zuerst aktivierst du in den Ordneroptionen "Alle Dateien anzeigen" und "Geschützte Systemdateien anzeigen".

Starte deinen PC neu und gehe in den abgesicherten Modus: Drücke beim Starten deines PCs die F8-Taste und wähle den abgesicherten Modus aus.

Dann gehst du über den Explorer in diesen Ordner: C:\WINDOWS\system32

Lösche jetzt diese Dateien:
msjz32.exe
atlbp32.dll

Dann gehst du ins Programm von HijackThis und setzt ein Häckchen von den mir genannten Einträgen und klickst auf "Fix checked".

so habe die beiden sachen im Abgesicherten modus entfernt und die anderen fix checked.
der log file sieht nun so aus:

Logfile of HijackThis v1.98.2
Scan saved at 19:20:45, on 16.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\sstray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Wireless LAN Utility\SiWake.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Wireless LAN Utility\SiSCFG.exe
C:\WINDOWS\_delis32.inimgdm
C:\WINDOWS\ntfh32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\joe\LOKALE~1\Temp\Rar$EX00.218\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rbjva.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rbjva.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\rbjva.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rbjva.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rbjva.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\rbjva.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\rbjva.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.bild.t-online.de/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {ABB3263D-7C2C-F7A2-88EB-8A9DA2FA3C2E} - C:\WINDOWS\ieaa.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [ntfh32.exe] C:\WINDOWS\ntfh32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: SiWake.lnk = C:\Programme\Wireless LAN Utility\SiWake.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.bild.t-online.de

problem: es hat sich noch nichts verändert, Startseite und popups kommen immer noch... was tun ?

auserdem hab ich noch ca. 15min escan drüberlaufen lassen ( weis nicht wie viele jahre das fürs komplette system braucht?) und da gabs noch so einige Viren: also mindestens 53 hat er noch gefunden.

was kann ich da machen hab ich was übersehn?

Hallo oktobermann,

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe noch mit Hijack This:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rbjva.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rbjva.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\rbjva.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rbjva.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rbjva.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\rbjva.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\rbjva.dll/sp.html#29126
R3 - Default URLSearchHook is missing

aktiviere die Systemwiederherstellung, boote in den normalen Modus.

Der eScan dauert ca 1-2 Stunden. 15 min nützen nichts. Welche Viren sind bis jetzt gefunden worden? Nenne uns bitte die Namen der Viren und lass den eScan ganz durchlaufen. Poste ein neues HJT Logfile.

SD

Du hast ja schon wieder neue Malware drauf ...

Die war beim letzten HijackThis-Log noch nicht drauf ...

So hab jetzt wie gesagt im abgesicherten modus gefixt und das neue log sieht so aus:
Logfile of HijackThis v1.98.2
Scan saved at 20:48:23, on 16.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\sstray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Wireless LAN Utility\SiWake.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Wireless LAN Utility\SiSCFG.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\joe\LOKALE~1\Temp\Rar$EX00.532\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.bild.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {ABB3263D-7C2C-F7A2-88EB-8A9DA2FA3C2E} - C:\WINDOWS\ieaa.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [ntfh32.exe] C:\WINDOWS\ntfh32.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: SiWake.lnk = C:\Programme\Wireless LAN Utility\SiWake.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.bild.t-online.de


außerdem hab ich den 15minnscan von escan nach der anleitung vom Christian "Zu Escan: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" behandelt und die ca 57 virenbefallenen dateien die escan ausgespuckt hat manuell gelöscht.
was ja ne ganz schöne arbeit ist wenn der Trojaner hinterlistig dauernd das Texdokumentfenster wieder schließt!

allerdings ist das homesearchfenster immer noch da..

hätte die manuelle löschaktion auch im abgesicherten modus stattfinden sollen??
soll ich jetzt mal escan ganz durchlaufen lassen oder was mach ich nun noch am besten??? der häufigste virus war "TrojanDownloader.Win32.Agent.cd" ,"TrojanDownloader.Win32.Agent.bq" und weitere zweier buchstabenkürzel...

Zitat:

Zitat von oktobermann

So hab jetzt wie gesagt im abgesicherten modus gefixt allerdings ist das homesearchfenster immer noch da..

hätte die manuelle löschaktion auch im abgesicherten modus stattfinden sollen??
soll ich jetzt mal escan ganz durchlaufen lassen oder was mach ich nun noch am besten??? der häufigste virus war "TrojanDownloader.Win32.Agent.cd" ,"TrojanDownloader.Win32.Agent.bq" und weitere zweier buchstabenkürzel...

*gaehn* schon 5 uhr ---

also ich tipp erstmal auf
O4 - HKLM\..\Run: [ntfh32.exe] C:\WINDOWS\ntfh32.exe << muesste zwischen 9-15kb gross sein.

geh bitte in deine Verwaltung -> Dienst und schau mal nach ob dort ein Service laeuft der entweder
Remote Procedure Call (RPC) Helper , Workstation NetLogon Service , Network Security Service (NSS) oder Network Security Service heisst.

Schau Dir im uebrigen mal http://www.heise.de/security/artikel/52139
und benutz mal die Tools hier http://www.safer-networking.org/de/tools/tools_ads.html

Gruss
Michael