Hallo zusammen,

kann mir vielleicht jemand helfen. Bei mir startet seltsamerweise seit kurzem immer der WMP automatisch beim HOchfahren. Ich befürchte, dass da irgendein Trojaner oder Virus auf dem Computer ist trotz Kerio Firewall.

Hier ist mein Logfile:

C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\windows\services.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sueddeutsche.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [W32_ADAPI] C:\WINDOWS\adapi.exe
O4 - HKLM\..\Run: [dlexport] C:\Programme\Windows Media Player\dlexport.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Windows] C:\WINDOWS\System32\windows\services.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA12589B-57AA-4E86-88A1-6042794B1044}: NameServer = 217.237.151.97 217.237.150.33
O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll

Würde mich um jede Hilfe freuen.

Dank euch

Hallo,

es sieht gar nicht gut auf deinem System aus.
Überprüfe mal folgende Dateien bei http://virusscan.jotti.org/de
und poste das Ergebnis:
C:\WINDOWS\System32\windows\services.exe
C:\WINDOWS\adapi.exe
C:\Programme\Windows Media Player\dlexport.exe

oh, das hört sich ja gar nicht gut an, aber die Ergebnisse der Scans stimmen mich eigentlich positiv...

Hier die Ergebnisse der Scans:

File: services.exe
Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: None

AntiVir No viruses found (1.57 seconds taken)
Avast No viruses found (4.83 seconds taken)
BitDefender No viruses found (2.91 seconds taken)
ClamAV No viruses found (3.97 seconds taken)
Dr.Web No viruses found (4.62 seconds taken)
F-Prot Antivirus No viruses found (0.39 seconds taken)
Kaspersky Anti-Virus No viruses found (4.55 seconds taken)
mks_vir No viruses found (2.42 seconds taken)
NOD32 No viruses found (3.38 seconds taken)
Norman Virus Control No viruses found (8.12 seconds taken)


File: adapi.exe
Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: None

AntiVir No viruses found (1.26 seconds taken)
Avast No viruses found (4.55 seconds taken)
BitDefender No viruses found (2.73 seconds taken)
ClamAV No viruses found (3.67 seconds taken)
Dr.Web No viruses found (4.41 seconds taken)
F-Prot Antivirus No viruses found (0.37 seconds taken)
Kaspersky Anti-Virus No viruses found (4.40 seconds taken)
mks_vir No viruses found (1.36 seconds taken)
NOD32 No viruses found (2.27 seconds taken)
Norman Virus Control No viruses found (1.04 seconds taken)


File: dlexport.exe
Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: None

AntiVir No viruses found (4.13 seconds taken)
Avast No viruses found (18.94 seconds taken)
BitDefender No viruses found (21.62 seconds taken)
ClamAV No viruses found (5.79 seconds taken)
Dr.Web No viruses found (4.28 seconds taken)
F-Prot Antivirus No viruses found (0.37 seconds taken)
Kaspersky Anti-Virus No viruses found (4.15 seconds taken)
mks_vir No viruses found (1.40 seconds taken)
NOD32 No viruses found (5.92 seconds taken)
Norman Virus Control No viruses found (3.04 seconds taken)

Dann schicke bitte alle drei Dateien gezippt zur Dateianalyse an virus@rokop-security.de , verweise auf diesen Thread und richte Raman einen schönen Gruss von mir aus.

Danach machst du folgendes, bis wir wissen um WAS es sich handelt:

Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):
O4 - HKLM\..\Run: [W32_ADAPI] C:\WINDOWS\adapi.exe
O4 - HKLM\..\Run: [dlexport] C:\Programme\Windows Media Player\dlexport.exe
O4 - HKLM\..\Run: [Windows] C:\WINDOWS\System32\windows\services.exe

leider konnte ich außer der services.exe gar keine Datei auf dem Rechner finden. die suche blieb ergebnislos. beim vorhergehenden Viruscheck hab ich lediglich die Pfade reinkopiert, so dass der das nicht erkannt hat, dass die files gar nicht da sind.

ich werd aber auf jeden fall mal deinen anderen tipp ausführen.

die services.exe hab ich an deinen kollegen geschickt. Danke für eure hilfe schonmal.

mittlerweile war mein file bei ralf von dem ich schöne grüße sagen soll.

Er konnte sich das ganze auch nicht so ganz erklären. Ich werde seine Anweisungen mal folgen und den Rechner mit escan scannen.

Nach Deinen Empfehlungen kommt jetzt zumindest nicht mehr der WMP beim Hochfahren automatisch

Mir ist aber noch ein weiteres Problem aufgefallen. Immer beim Start des IE geht eine zweite Session auf mit folgender Seite (immer die gleiche)
http://www.free6.se/
Kann mir dies aber leider nicht erklären.

Zitat:

Immer beim Start des IE geht eine zweite Session auf mit folgender Seite (immer die gleiche)
h**p://www.free6.se/

Das ist eine Porn Site.

Arbeite diese Punkte schon mal ab:
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org

Poste nochmal ein aktuelles Log-File.

Hallo Cidre,

mittlerweile nach allen möglichen Einstellungen im IE und Scans - einige files wurden von escan auch gelöscht - sieht mein Logfile so aus (bin jetzt auch mozilla-user)

Logfile of HijackThis v1.98.2
Scan saved at 20:10:36, on 25.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Gemeinsame Dateien\Logitech\WebColct\WebColct.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://wer-mit-wem.webhop.net/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA12589B-57AA-4E86-88A1-6042794B1044}: NameServer = 217.237.151.97 217.237.150.33
O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll


Sieht das jetzt schon besser aus???

WMP geht nicht mehr auf, die Seiten vom IE gehen auch nicht mehr auf.

Auf was für Einstellungen ist denn bei Mozilla zu achten und reicht die Kerio Firewall aus oder benötigt man noch ein Antivirus Programm?

Dank Dir für die Hilfe ...

Lösche die Datei C:\WINDOWS\System32\vbsys.dll im abgesicherten Modus.

Dann fixe dies:

O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll

Auch bei Mozilla solltest du stets die aktuelle Version auf deinen PC haben.
Wenn möglich, dann deaktiviere Java.
Lasse Dateien immer erst abspeichern. Somit prüft diese dein Virenscanner.
Sonst fällt mir eigentlich nix mehr ein - achja ... Cookies könntest du nur von Erstanbietern aktzeptieren.

... danke für den weiteren tipp ... mittlerweile sieht mein logfile so aus...

Logfile of HijackThis v1.98.2
Scan saved at 22:10:25, on 25.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://wer-mit-wem.webhop.net/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA12589B-57AA-4E86-88A1-6042794B1044}: NameServer = 217.237.151.97 217.237.150.33


ich spüre keine beeinflussung mehr, aber ich hoffe, dass da nicht wieder was hochkommt, wenn ich dem wmp oder den ie (eigentlich bleib ich wohl bei mozilla) öffne ...

Liegt da noch was im Argen oder sind die Einträge jetzt alle OK???

@Butzen-Walter
wenn das deine startseite ist,
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://wer-mit-wem.webhop.net/
dann schaut dein log gut aus
chaosman

@ Butzen-Walter

Wie gesagt, dein Log-File ist sauber. Bleibe bei Mozilla, denn er ist nach wie vor sicherer als der IE.
Um die Sicherheit deines Systems zu erhöhen, solltest du diese Seite lesen, verstehen und die Tipps dementsprechend abarbeiten:
http://www.mathematik.uni-marburg.de...ompromise.html

... hey danke ... das mit der seltsamen Webpage hab ich in der Registry noch geändert und jetzt schnurrt mein computer wieder. dank euch ...

die tipps werd ich in den nächsten tagen mal anschauen ...

bis denn mal

@ Butzen-Walter

zusätzlich zu den bereits gegebenen Tips, solltest Du Dich auf der in meiner Signatur angegebenen Seite: "TI Hijacker-Rubrik" --> Vorbeugung umschauen und Dir dort den SpywareBlaster 3.2 runterladen. Der Allround-Schutz für alle Browser muss jedesmal vor dem online gehen neu erstellt werden. Tägliches Updaten nicht vergessen.

SD