Hallo zusammen,

ich bin absolut neu in diesem Forum und hoffe daher, dass Ihr mir helfen könnt.

Seit ein paar Tagen habe ich an meinem PC den Effekt, dass mir im IE eine zusätzliche Toolbar dargestellt wird. Außerdem erscheint am unteren Bildrand eine zweizeilige Menüleiste mit Links wie "Make Money" usw. Wenn ich mir die Eigenschaften der Menüleiste anzeigen lasse, sehe ich, dass sie von searchweb2.com kommt.

Ich bin völlig verzweifelt und weiss nicht mehr, was ich tun soll. Bitte helft mir!

Hier der Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 13:26:58, on 22.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\adebiasi\Lokale Einstellungen\Temp\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bbvdcpaieridznlksf.com/Vy...RNmCsK1W6.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {08431209-8B8F-C546-3CDC-474FE5639398} - C:\DOKUME~1\adebiasi\ANWEND~1\ARMYBA~1\antidefy.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {BF55256A-3B3B-11D2-B05B-000001145917} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Soft drv pure data] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bend Comp Soft Drv\antiitch.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [hopeflaw] C:\DOKUME~1\adebiasi\ANWEND~1\BURNBA~1\Interdrawproxy.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBFBB44C-B633-45C4-9F1C-0FED32E83684}: NameServer = 192.168.1.1,0.0.0.0

Herzlichen Dank und ein schönes Wochenende!
Matthias

Hallo matze62,

Platform: Windows XP SP1 (WinNT 5.01.2600) - Dein Betriebssystem ist nicht auf dem aktuellen Stand, besuche www.windowsupdate.com.

Überprüfe mit dem online-scan von Kaspersky:

C:\DOKUME~1\adebiasi\ANWEND~1\ARMYBA~1\antidefy.exe
C:\DOKUME~1\adebiasi\ANWEND~1\BURNBA~1\Interdrawpr oxy.exe

Teile uns das Ergebnis der Überprüfung mit. Sende diese Dateien, wenn sie infiziert sind, an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck).

=====@=====

Spybot-Forschung: arbeite das Tutorial Punkt für Punkt durch, überprüfe Deinen Computer mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info, mit dem Betreff "searchweb2-TBOARD".

=====@=====

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häkchen setzen und fix checked klicken):

O2 - BHO: (no name) - {BF55256A-3B3B-11D2-B05B-000001145917} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

wenn Du diese Seite nicht kennst/brauchst, bitte fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bbvdcpaieridznlksf.com/V...eRNmCsK1W6.htmlä

Boote in den normalen Modus. Aktiviere die Systemwiederherstellung.

=====@=====

Lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

Erstelle ein neues Hijack This Logfile und poste es.

SD

Hallo Shadowdance,

ich kann dir gar nicht sagen, wie dankbar ich dir für deine Hilfe bin. Es war zwar viel Arbeit, aber deine Beschreibung ist dermaßen gut und detailliert, dass eigentlich nichts schief gehen kann. Ganz großes Lob!!!

Der erste Erfolg hat sich auch bereits eingestellt. So kam z.B. weder die Menüleiste am unteren Bildschirmrand noch die Toolbar im Browser hoch. Allerdings wird die Startseite im IE noch umgesetzt.

Hier die gewünschten Reports aus HijackThis und eScan.

eScan:

Fri Oct 22 17:00:53 2004 => File C:\DOKUME~1\adebiasi\ANWEND~1\ARMYBA~1\TEAMUP~1.EXE infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.

Fri Oct 22 17:00:56 2004 => File C:\DOKUME~1\ALLUSE~1\ANWEND~1\BENDCO~1\WAVEER~1.EXE infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.

Fri Oct 22 17:03:41 2004 => File C:\Dokumente und Einstellungen\adebiasi\Anwendungsdaten\Army balm\Team Up.exe infected by
"TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.

Fri Oct 22 17:03:41 2004 => File C:\Dokumente und Einstellungen\adebiasi\Anwendungsdaten\burnbaseaim\Baitloudhidepop.exe infected by
"TrojanDownloader.Win32.Swizzor.bx" Virus. Action Taken: No Action Taken.

Fri Oct 22 17:03:41 2004 => File C:\Dokumente und Einstellungen\adebiasi\Anwendungsdaten\burnbaseaim\dentcoalcast.exe infected by
"TrojanDownloader.Win32.Swizzor.bm" Virus. Action Taken: No Action Taken.

Fri Oct 22 17:03:41 2004 => File C:\Dokumente und Einstellungen\adebiasi\Anwendungsdaten\burnbaseaim\loozhhaa.exe infected by
"TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.

Fri Oct 22 17:03:42 2004 => File C:\Dokumente und Einstellungen\adebiasi\Anwendungsdaten\burnbaseaim\wdjlfoky.exe infected by
"TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.

Fri Oct 22 17:03:42 2004 => File C:\Dokumente und Einstellungen\adebiasi\Anwendungsdaten\burnbaseaim\xswmjcwc.exe infected by
"TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
Fri Oct 22 17:03:58 2004 => File C:\Dokumente und
Einstellungen\adebiasi\Anwendungsdaten\Mozilla\Profiles\default\xatmdfpp.slt\Mail\pop.1und1.com\Junk infected by "I-Worm.NetSky.b" Virus. Action
Taken: No Action Taken.

Fri Oct 22 17:03:58 2004 => File C:\Dokumente und
Einstellungen\adebiasi\Anwendungsdaten\Mozilla\Profiles\default\xatmdfpp.slt\Mail\pop.1und1.com\Trash infected by "I-Worm.NetSky.b" Virus. Action
Taken: No Action Taken.

Fri Oct 22 17:03:58 2004 => File C:\Dokumente und
Einstellungen\adebiasi\Anwendungsdaten\Mozilla\Profiles\default\xatmdfpp.slt\Mail\pop.1und1.de\Inbox infected by "I-Worm.NetSky.q" Virus. Action
Taken: No Action Taken.

Fri Oct 22 17:03:59 2004 => File C:\Dokumente und
Einstellungen\adebiasi\Anwendungsdaten\Mozilla\Profiles\default\xatmdfpp.slt\Mail\pop.1und1.de\Trash infected by "I-Worm.NetSky.q" Virus. Action
Taken: No Action Taken.

Fri Oct 22 17:04:54 2004 => File C:\Dokumente und Einstellungen\adebiasi\Lokale Einstellungen\Temp\116044.exe infected by
"TrojanDownloader.Win32.Swizzor.by" Virus. Action Taken: No Action Taken.

Fri Oct 22 17:04:57 2004 => File C:\Dokumente und Einstellungen\adebiasi\Lokale Einstellungen\Temp\e561712d.exe infected by
"TrojanDownloader.Win32.Swizzor.by" Virus. Action Taken: No Action Taken.

Fri Oct 22 17:06:14 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bend Comp Soft Drv\antiitch.exe infected by
"TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.

Fri Oct 22 17:06:14 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bend Comp Soft Drv\logo the.exe infected by
"TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.

Fri Oct 22 17:06:14 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bend Comp Soft Drv\wave error.exe infected by
"TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.

Fri Oct 22 17:14:16 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Fri Oct 22 17:14:16 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\EXTRA MAGS DART CDROM.EXE.VIR
Fri Oct 22 17:14:16 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\SECTACIDCAKE1.EXE.VIR


Hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 18:17:38, on 22.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\bases\mwavscan.com
C:\bases\kavss.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Matthias\PC\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.qndcfqrxzivjhrxkrjo.com/V...RNmCsK1W6.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dotsmbkhtxvupkvxrxsi.net/...olbZtGKfY.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {08431209-8B8F-C546-3CDC-474FE5639398} - C:\DOKUME~1\adebiasi\ANWEND~1\ARMYBA~1\Team Up.exe (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Soft drv pure data] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bend Comp Soft Drv\wave error.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [hopeflaw] C:\DOKUME~1\adebiasi\ANWEND~1\BURNBA~1\Interdrawproxy.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098451208671
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBFBB44C-B633-45C4-9F1C-0FED32E83684}: NameServer = 192.168.1.1,0.0.0.0

Ich hoffe, dass wir den Rest jetzt auch noch hinkriegen und freue mich schon auf deine Antwort.

Mich würde natürlich interessieren, wie ich diese Attacken in Zukunft verhindern kann (Virenscanner, Firewall, Spyware-Scanner,.....) und mit welchen Produkten (AntiVir, eScan, Spybot, ....)

Vielen Dank und herzliche Grüße
Matthias

Lösche die gefundenen Dateien im abgesicherten Modus manuell.