hi leute...
ich wäre euch echt sehr dankbar wenn sich einer von euch "cracks"...*g* mal meinen fall anschauen würde...
ich muss mir irgendwo beim surfen einen üblen spyware oder ähnlichen virus eingefangen haben...
das teil verändert mir laufend meine startseite...
merkwürdig ist aber, das es zuerst ein "explorer.exe" trojaner gewesen sein muss( exporer53.exe / bzw.: explorer53[1].cab),der mich ständig ,wenn ich über den internet explorer in`s net wollte,auf die seite www.thenewsearch.com (oder .de,bzw .html) gebracht hat (bloss nicht da raufgehen!!!) wo sich bei ankunft auf der seite sofort eine(wie oben genannte) datei die aussah wie ein zip file in der akte - C/Dokumente und Einstellungen/(benutzer)/Lokale Einstellungen/Temporary Internet Files - eingenistet hat...und ich glaube ein "ableger" davon war auch im C/Windows/Registration ordner zu finden!
nun (plötzlich) , da ich ich dieses "zip" file mit Ad-watch blocke,stellt sich meine startseite (vom internet explorer) nur noch auf diese seite hier um: http://www.irgmjmqwznfijwrowcxxjgdf....puXXmhDnU.html
diese explorer.exe/bzw.cab datei hab ich gelöscht bekommen...und auch die andere datei aus dem Registration-Ordner(obwohl norten nicht dazu in der lage war)...seitdem kommen die auch nicht wieder...selbst wenn man erneut auf diese "thenewsearch" seite geht...(auch ohne Ad-watch) es muss aber trotzdem noch was übrig geblieben sein was ich nicht aufspüren kann...denn obwohl diese beiden dateien weg waren/sind stellte sich meine startseite immernoch ständig auf diese "thenewsearch"-seite um...und danach dann irgendwann wie gesagt nur noch auf diese andere oben angegeben seite...
ich hab von norten bis über ad-watch,spybot,a²,digital patrol scanner,spywareblaster,pest patrol bis hin zu baggle cleaner und dlder-remove alles ausprobiert...aber keines dieser anti viren tools konnte irgendwas finden... *lol*

hinzu kommt noch das - wenn man ne weile auf emule ist/bzw.mit emule downloadet - sich irgendwann norten meldet und einem sagt das er den trojaner:"trojan moo" gefunden hat...(055.part) in dem ordner:C/emule.../emule.../Temp
der witzigerweise sofort wieder automatisch verschwunden ist wenn man emule dichtmacht....
dieser ist dann natürlich ebenfalls nicht mehr aufzuspüren...von keinem der oben genannten anti-viren tools... *lol*

nun meine frage....wie kann ich wieder herr der lage werden??? *lach*
kennt sich vielleicht schon jemand aus mit diesen komischen "viren" oder weiss jemand wo sich noch "ableger" dieser fiesen gesellen verbergen...(datein/ordner?) damit wenigstens meine startseite nicht laufend verändert wird....
ich würde mich über eure hilfe wirklich sehr freuen...
herzliche grüsse und euch allen ein schönes we !!!
bye - smiler

Hallo,

bitte ein Log mit diesem Programm erstellen:

http://www.trojaner-board.de/51130-a...ijackthis.html

Inhalt hier ins Forum posten.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.kxssmkyxjyeesggwirkhwk.co...BpTNl4jMe.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.irgmjmqwznfijwrowcxxjgdf....puXXmhDnU.html
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {41D77B40-8842-D803-BF8C-0FC5ADF3EA55} - C:\DOKUME~1\Zash\ANWEND~1\INFOPL~1\amok bolt.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOKUME~1\Zash\Desktop\Download\ANTIVI~1\Spybot\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINDOWS\System32\ADV.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O3 - Toolbar: Advanced Search - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINDOWS\System32\ADV.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [MealPeakTheDale] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cast 64 meal peak\okayflap.exe
O4 - HKLM\..\RunServices: [update service] winu32.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] explore32.exe
O4 - HKLM\..\RunServices: [Microsoft WinUpdates] serm32.exe
O4 - HKLM\..\RunServices: [starter] scvhosting.exe
O4 - HKLM\..\RunServices: [System Startup] voltio.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Aimdumb] C:\DOKUME~1\Zash\ANWEND~1\ONECDR~1\jugs chin.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Digital Patrol Update.lnk = C:\Programme\Proantivirus Lab\Digital Patrol Scanner 5.0\update.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096292064984
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{023D7AD1-14D8-42CB-B3D3-7CC652B68289}: NameServer = 217.237.151.33 217.237.149.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{023D7AD1-14D8-42CB-B3D3-7CC652B68289}: NameServer = 217.237.151.33 217.237.149.225

meintest du sowas hier...?
sorry...bin absoluter newbie in solchen sachen...
aber danke für den tip erstmal... und vor allem für den link

Ja, das meinte ich, allerdings ist das Log nicht ganz vollständig, bitte kopiere den gesamten Inhalt hierher.
Allerdings lässt sich jetzt schon sagen, dass du Trojanische Pferde auf dem Rechner hast, die die Fernsteuerung desselben erlauben und dein System daher kompromittiert ist. Unter anderem (aber nicht nur):

http://www.trendmicro.com/vinfo/viru...BOT.GE&VSect=T

Du solltest dich also schon mal darauf einrichten, dass du alles neu installierst, das wäre die beste Lösung. Und danach musst du auch dringend einige grundlegende Dinge in deinem Surfverhalten ändern, mehr Infos dazu nach dem kompletten Logfile.

oops....sorry...*g*...hatte nicht alles markiert...
kleiner fehler am rande....*lach*
hier nun die ganze liste....und vielen lieben dank schonmal für deine bemühungen.....!!!
wär allerdings echt übel wenn ich alles neu machen müsste....


Logfile of HijackThis v1.98.2
Scan saved at 14:59:20, on 22.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\PTBSync\PTBSync.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Proantivirus Lab\Digital Patrol Scanner 5.0\update.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Dokumente und Einstellungen\Zash\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\ccApp.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AIM95\aim.exe
C:\Programme\Yahoo!\Messenger\YPager.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Dokumente und Einstellungen\Zash\Desktop\Download\Anti Viren Tools\Spybot\SpybotSD.exe
C:\Dokumente und Einstellungen\Zash\Desktop\Download\Anti Viren Tools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.kxssmkyxjyeesggwirkhwk.co...BpTNl4jMe.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.irgmjmqwznfijwrowcxxjgdf....puXXmhDnU.html
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {41D77B40-8842-D803-BF8C-0FC5ADF3EA55} - C:\DOKUME~1\Zash\ANWEND~1\INFOPL~1\amok bolt.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOKUME~1\Zash\Desktop\Download\ANTIVI~1\Spybot\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINDOWS\System32\ADV.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O3 - Toolbar: Advanced Search - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINDOWS\System32\ADV.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [MealPeakTheDale] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cast 64 meal peak\okayflap.exe
O4 - HKLM\..\RunServices: [update service] winu32.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] explore32.exe
O4 - HKLM\..\RunServices: [Microsoft WinUpdates] serm32.exe
O4 - HKLM\..\RunServices: [starter] scvhosting.exe
O4 - HKLM\..\RunServices: [System Startup] voltio.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Aimdumb] C:\DOKUME~1\Zash\ANWEND~1\ONECDR~1\jugs chin.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Digital Patrol Update.lnk = C:\Programme\Proantivirus Lab\Digital Patrol Scanner 5.0\update.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096292064984
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{023D7AD1-14D8-42CB-B3D3-7CC652B68289}: NameServer = 217.237.151.33 217.237.149.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{023D7AD1-14D8-42CB-B3D3-7CC652B68289}: NameServer = 217.237.151.33 217.237.149.225

Ja, also das prinzipielle Problem hat sich natürlich nicht geändert, dein Rechner steht Angreifern von Außen zur freien Verfügung, deine Passworte musst du als bekannt voraussetzen und es können auch Systemdateien verändert worden sein. Die beste Empfehlung wäre eine Neuinstallation anhand dieser Anleitung:

http://board.protecus.de/showtopic.p...me=1097944155&


Vielleicht hast du ja jemanden, der dir dabei helfen kann?

Wenn dir das partout nicht möglich sein sollte:
E-Scan herunterladen und updaten:

http://www.trojaner-board.de/42731-escan-anleitung.html

Systemwiederherstellung deaktivieren, in den abgesicherten Modus booten:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm



Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.kxssmkyxjyeesggwirkhwk.c...oBpTNl4jMe.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.irgmjmqwznfijwrowcxxjgdf...vpuXXmhDnU.html
O3 - Toolbar: Advanced Search - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINDOWS\System32\ADV.dll
O4 - HKLM\..\RunServices: [update service] winu32.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] explore32.exe
O4 - HKLM\..\RunServices: [Microsoft WinUpdates] serm32.exe
O4 - HKLM\..\RunServices: [starter] scvhosting.exe
O4 - HKLM\..\RunServices: [System Startup] voltio.exe

Lösche danach die enstprechenden Dateien.

Diese Einträge sind mir nicht bekannt, wenn du nicht genau weisst, wozu sie gehören, bitte bei http://virusscan.jotti.org/de hochladen und überprüfen:

C:\DOKUME~1\Zash\ANWEND~1\INFOPL~1\amok bolt.exe
O4 - HKLM\..\Run: [MealPeakTheDale] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cast 64 meal peak\okayflap.exe
O4 - HKCU\..\Run: [Aimdumb] C:\DOKUME~1\Zash\ANWEND~1\ONECDR~1\jugs chin.exe

Falls sie als Schädlinge identifiziert werden, ebenfalls fixen
MessengerPlus wird vielerorts als Spywarte eingestuft, ich würde es deinstallieren.
Poste ein neues Logfile.
Besser wäre jedoch eine Neuinstallation.

woooow.... !!!
herzlichen dank!!!
ich werd mein bestes geben und mich da durcharbeiten....*g*
melde mich wieder wenn ich alles gecheckt hab,ok?
daaaaaaaaaaaaaaaaaaaaaaaaaaaaankeeeeeeeeeeeeeeee!!!!!!!
muss ich glatt einen ausgeben drauf....*gg*

so...da bin ich wieder...(nach stundenlangem rumprobieren...*lach*)

momentan sieht die lage so aus...

Logfile of HijackThis v1.98.2
Scan saved at 22:55:12, on 22.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\PTBSync\PTBSync.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Proantivirus Lab\Digital Patrol Scanner 5.0\update.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Zash\Desktop\Download\Anti Viren Tools\HijackThis.exe

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOKUME~1\Zash\Desktop\Download\ANTIVI~1\Spybot\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Digital Patrol Update.lnk = C:\Programme\Proantivirus Lab\Digital Patrol Scanner 5.0\update.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096292064984
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab

was ,glaub ich ganz gut ist...*g*
bin auch eigentlich ganz zufrieden jetzt....hab meine geliebte startseite wieder,...und sonst auch keine merkliche viren attacke...*freu*
zwar stürtzt mein windows explorer plötzlich ganz gern mal ab....aber damit könnte man vielleicht noch leben...*lol*

was komisch ist - ist nur....immer wenn ich ad-watch starte hab ich sofort wieder die veränderte startseite und im log file von hijack finden sich die ganzen teile , explore32.exe,scvhosting.exe,winu32.exe,serm32.exe und voltio.exe auch wieder an....hinzu kommen noch 2 ganz merkwürdige files mit namen ... okayflap.exe und jugs chin.exe , die ich >alle< aber auch nicht mit der windows suchfunktion nach datein und ordnern aufstöbern kann...
wie gesagt seh ich den ganzen schrott nur wieder wenn ich ad-watch starte.....(*grübel*)
desweiteren hab ich alle trojaner mit escan ausfindig machen können....
1000 dank für den klasse tip!!!
hab sie aber leider nur per hand löschen können....
hier nochmal die liste meines befalls...*lach*

ADV.dll /infected by"not-a-virus:AdvWare.ToolBar.Tubby.b"
adarros.dll /infected by"TrojanProxy.Win32.Agent.ag"
asuigg.dll /infected by"TrojanProxy.Win32.Agent.ag"
UNPICVID.EXE /tagged as"not-a-virus:Tool.Win32.Reboot.
amok bolt.exe /infected by"TrojanDownloader.Win32.Swizzor.bo"
enc else draw.exe /infected by"TrojanDownloader.Win32.Swizzor.bm"
ownslivewebdelete.exe /infected by"TrojanDownloader.Win32.Swizzor.bx"

ausserdem hatte ich auch noch den trojaner

W32.spybot.cym

drauf.....

also zusammengefasst....vorher...bzw. wenn ich ad-watch anmache spuckt hijack das alte logfile aus...
...ansonsten spuckt er das andere (jetztige) logfile (oben) aus....
ich darf wie gesagt bloss ad-watch nicht anmachen......schon crazy...*lach*
blickst du da durch...?
meeega mässig viele und herzliche grüsse - smiler

hier nochmal schnell das logfile das hijack ausspuckt wenn ich ad-watch dabei laufen habe....(nur zum übersichtlicheren vergleich)

Logfile of HijackThis v1.98.2
Scan saved at 22:59:08, on 22.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\PTBSync\PTBSync.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Proantivirus Lab\Digital Patrol Scanner 5.0\update.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Dokumente und Einstellungen\Zash\Desktop\Download\Anti Viren Tools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.kxssmkyxjyeesggwirkhwk.co...BpTNl4jMe.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.irgmjmqwznfijwrowcxxjgdf....puXXmhDnU.html
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOKUME~1\Zash\Desktop\Download\ANTIVI~1\Spybot\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [MealPeakTheDale] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cast 64 meal peak\okayflap.exe
O4 - HKLM\..\RunServices: [update service] winu32.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] explore32.exe
O4 - HKLM\..\RunServices: [Microsoft WinUpdates] serm32.exe
O4 - HKLM\..\RunServices: [starter] scvhosting.exe
O4 - HKLM\..\RunServices: [System Startup] voltio.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Aimdumb] C:\DOKUME~1\Zash\ANWEND~1\ONECDR~1\jugs chin.exe
O4 - Startup: Digital Patrol Update.lnk = C:\Programme\Proantivirus Lab\Digital Patrol Scanner 5.0\update.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096292064984
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab

viele grüsse nochmal....

@ smiler88

Dein Logfile ist nicht sauber. Dein System ist kompromittiert. Die einzige und sauberste Lösung wäre formatieren und neuaufsetzen, wie bereits von MountainKing empfohlen.

Arbeite zunächst das Tutorial der Spybot-Forschung Punkt für Punkt durch, überprüfe Deinen Computer mit Spybot 1.3.1TX. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info, mit dem Betreff "Searchbar-TBOARD" und Hinweis auf diesen Thread. (Nicht im Forum posten, da zwecklos!)

Zitat:

ADV.dll /infected by"not-a-virus:AdvWare.ToolBar.Tubby.b"
adarros.dll /infected by"TrojanProxy.Win32.Agent.ag"
asuigg.dll /infected by"TrojanProxy.Win32.Agent.ag"
UNPICVID.EXE /tagged as"not-a-virus:Tool.Win32.Reboot.
amok bolt.exe /infected by"TrojanDownloader.Win32.Swizzor.bo"
enc else draw.exe /infected by"TrojanDownloader.Win32.Swizzor.bm"
ownslivewebdelete.exe /infected by"TrojanDownloader.Win32.Swizzor.bx"
ausserdem hatte ich auch noch den trojaner: W32.spybot.cym

Information hierzu:
Win32.Swizzor.bo und W32.spybot.cy, bitte die "Erläuterung" beachten.

Die Malware, deren Spuren sich trotz Löschens auf Deinem System eingegraben hat, sorgt nicht nur dafür, dass Dein System für Dich selbst zu einem untragbaren Risiko-Faktor wird, sondern auch dafür, dass Du andere Teilnehmer im Netz gefährdest. Meine Empfehlung lautet: formatieren & neuaufsetzen.

SD