Mich hat's dann wohl auch erwischt...

Ich habe eine neue Startseite, mein Favoritenmenue enthaelt lauter Schrott und ich bekomme laufend Fehlermeldungen, dass das was seii.

Das ist meine Startseite: about:blank



Das ist mein Log:

Logfile of HijackThis v1.98.2
Scan saved at 17:22:49, on 2004/10/28
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\SpamPal\spampal.exe
C:\WINDOWS\System32\LVComS.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\ie4unit.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {A32B13F4-0250-432B-8248-52015665D57A} - C:\WINDOWS\System32\rpcnt4.dll
O2 - BHO: (no name) - {A7717771-E8CA-11D3-9CD9-1110271D075B} - C:\WINDOWS\System32\msacmx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://81.1.41.137/activex/AxisCamControl.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/mail/mms/activex/upload_1118.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.power-url.de/StarInstall.ocx
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8FF9586-DAE0-4B78-A148-55A497D29A81}: NameServer = 194.65.100.117
O18 - Filter: text/html - {621C396B-F3A3-4AC9-808D-63433060ADA3} - C:\WINDOWS\System32\rpcnt4.dll
O18 - Filter: text/plain - {621C396B-F3A3-4AC9-808D-63433060ADA3} - C:\WINDOWS\System32\rpcnt4.dll
O21 - SSODL: Web Event Logger - {7CFEFEF1-ED03-1337-ABCD-526492F5D679} - C:\WINDOWS\System32\Jlconi32.dll

Ueber Hilfe wuerde ich mich freuen,
bin aber Laie.

Du solltest Deinen IE 6 updaten (über Microsoft update)

Ansonsten jage die logdatei mal durch die automatische hijack-auswertung.

http://www.hijackthis.de/index.php

Dort gibt es dann Hinweise und Anweisungen zum fixen mit hijack

Hallo, Mitrasch
Du hast recht, da stimmt so einiges nicht:
Die folgenden einträge solltest Du im abgesicherten Modus fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O4 - HKLM\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] svchosting.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.power-url.de/StarInstall.ocx
O18 - Filter: text/html - {621C396B-F3A3-4AC9-808D-63433060ADA3} - C:\WINDOWS\System32\rpcnt4.dll
O18 - Filter: text/plain - {621C396B-F3A3-4AC9-808D-63433060ADA3} - C:\WINDOWS\System32\rpcnt4.dll

Wenn du folgende Einträge nicht kennst, dann ebenfalls fixen:
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8FF9586-DAE0-4B78-A148-55A497D29A81}: NameServer = 194.65.100.117
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/mail/mms/activex/upload_1118.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://81.1.41.137/activex/AxisCamControl.cab
O15 - Trusted Zone: http://*.63.219.181.7

Lösche die Dateien:
C:\WINDOWS\web\related.htm
C:\WINDOWS\System32\rpcnt4.dll
C:\WINDOWS\System32\rpcnt4.dll/sp.html

Poste anschließend ein neues Logfile.
Lade Dir die Updates für Dein System runter!!

Scanne mal deinen PC mit eScan im abgesicherten Modus. Du hast wahrscheinlich einen aktiven Backdoortrojaner drauf.

Zitat:

O4 - HKCU\..\Run: [Win32 USB2 Driver] svchosting.exe

Aktiver W32/Forbot-J

Zitat:

# Ermöglicht Dritten den Zugriff auf den Computer
# Stiehlt Daten
# Lädt Code aus dem Internet herunter
# Reduziert die Systemsicherheit
# Installiert sich in der Registrierung

Sobald der Wurm installiert ist, verbindet er sich mit einem vorkonfigurierten IRC-Server und wartet auf weitere Anweisungen. Aufgrund dieser Anweisungen kann der Wurm die folgenden Aktionen ausführen:

* Überfluten eines anderen Computers
* Umleiten von Ports
* Start eines HTTP-Proxyservers
* Start eines FTP-Proxyservers
* Start eines SOCKS4-Proxyservers
* Übertragen von Dateien
* Stehlen von CD-Schlüsseln
* Suchen nach weiteren infizierbaren Computern


W32/Forbot-J versucht, sich auf andere Computer verbreiten, die entweder für die LSASS-Schwachstelle anfällig sind (siehe MS04-011) oder mit der Troj/Optix Backdoor infiziert sind.

Quelle: http://www.sophos.de/virusinfo/analyses/w32forbotj.html

Daraus resultiert diese logische Konsequenz: http://www.trojaner-board.de/showpos...28&postcount=2

btw: Der Grund allen Übels ist dein nicht gepatchtes System!

@ cidre:
Den [Win32 USB2 Driver] svchosting.exe hab´ich schon mal behandelt und im vorigen Post schlichtweg überlesen.
Danke für die Hinweise

Erst einmal vielen Dank...

Wo fange ich denn nur an?
Was ist ein gepatchtes System?
Und was ist mit meinem nicht registriertem IE und einem Update bei MS?



Erschuetterte Gruesse aus dem verregneten Portugal,

Christian!

Patchen bedeutet soviel wie alle nachträglichen Updates installieren.

Es tauchen immerwieder neue Sicherheitslöcher auf.
Daraufhin stelle MS (oder auch nicht) Updates zur Verfügung.

Diese Updates solltest du stets bei www.windowsupdate.com herunterladen und installieren.

Ich wüßte nicht, dass man sich für den IE registrieen lassen müßte. Aber sicher bin ich mir da nicht.
Ich würde Dir zudem raten auf andere Browser wie Opera oder Firefox umzusteigen. Bin auch kein Experte auf dem Gebiet, aber auf anraten von Usern hier im Board, bin ich auf Firefox umgestiegen und bin für diesen Tip noch sehr dankbar. Firefox ist wesentlich sicherer.

Gruß
Mitschi

Zudem kann ich Dir nur raten mal ein ppar Themen in diesem Board durchzugehen. Du findest hier zahlreiche Tips, welche Dir das Leben mit deinem Rechner wesentlich erleichetren.