Hallo, nachdem mir das Board durch einfaches Lesen dann und wann mal helfen konnte, komme ich diesmal leider nicht weiter.

Nach zwei Wochen Urlaub durfte ich meinen Rechner leider nur noch mäßig funktionsfähig übernehmen. Durch wilde Rumsurferei auf vielen unschönen Seiten hat mein Bruder diverse (!) Trojaner Hijacker und was weiß ich eingefangen. Einige wie z.B. Coolwebsearch konnte ich inzwischen beseitigen, aber ein Problem bekomme ich nicht gelöst.

Wie in der Überschrift beschrieben, rufen sich einige Internetseiten dann und wann selbstständig auf. Manchmal Werbung für Porno, dann Werbung für Virenentferner, die vermutlich genau von denen stammen, die auch dne Scheiß auf meinem Rechner hinterlegt haben.

Zudem erscheinen immer wieder Einträge in meinen Favoriten für Viagra, Autoversicherungen usw. Leider bekomme ich das Problem nicht gelöst. AntiVir findet gar nichts. Spybot S&D findet inzwischen auch nichts mehr (vorher oftmals noch cookies von mediaplex und irgendwas anderes, was ich aber jetzt gesperrt habe). Ad-Aware zeigt mir bei jedem Durchlaufen immer mal wieder irgendwelche neuen Cookies an, die ich dann lösche....

Hier mal das Hijackthislogfile:

Logfile of HijackThis v1.98.2
Scan saved at 02:25:11, on 07.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
G:\Programme\DSL\Stay connected\StayCon.exe
G:\Programme\t-online5\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
G:\Programme\AntiVir\AVGNT.EXE
G:\Programme\t-online5\T-Online_Software_5\Banking\HBRemind.exe
G:\EMAIL\INCRED~1\INCRED~1\bin\IMAPP.EXE
G:\Programme\AntiVir\AVGUARD.EXE
G:\Programme\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\msmsgs.exe
G:\Programme\Miranda\Miranda IM\miranda32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
G:\Programme\t-online5\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
G:\Programme\t-online5\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
G:\PROGRA~1\T-ONLI~1\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
G:\Programme\Lavasoft Ad-aware\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\Internet Explorer\iexplore.exe
G:\Programme\Sicherheit\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Audio-Videoprogramme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEHelperObj Class - {6754A456-BAD9-11D4-93D3-00B0D03A2F91} - G:\PROGRA~1\ODIGO\BIN\OdigoBHO.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINDOWS\System32\msacmx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Stay Connected] G:\Programme\DSL\Stay connected\StayCon.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ToADiMon.exe] G:\Programme\t-online5\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVGCtrl] "G:\Programme\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [QuickTime Task] "g:\programme\quicktime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [HBRemind] G:\Programme\t-online5\T-Online_Software_5\Banking\HBRemind.exe
O4 - HKCU\..\Run: [IncrediMail] G:\EMAIL\INCRED~1\INCRED~1\bin\IncMail.exe /c
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - G:\EMAIL\INCRED~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{485A435A-1667-45D2-9AFB-E69189B56056}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{485A435A-1667-45D2-9AFB-E69189B56056}: NameServer = 217.237.149.161 217.237.151.225


Wäre schön, wenn mir da jemand helfen könnte.

@ Greg le Pac

Platform: Windows XP SP1 (WinNT 5.01.2600): besuche www.windowsupdate.com. Beachte, dass das Betriebssystem, der Browser, alle SchutzProgramme, sowie alle weitere Software stets auf dem aktuellen Stand sein muss, um einen Schutz darstellen zu können.

Überprüfe mit virusscan.jotti.dhs.org:

G:\Programme\DSL\Stay connected\StayCon.exe

--> Ergebnis?

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Der eScan ab Version 4.5.1 löscht gefundene Malware nicht, das wird manuell gemacht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es.

SD

bitte beachten:

ClearProg - Security-Tools - IE sicher konfigurieren - compromise

Hallo Shadowdance, danke erstmal für die schnelle Antwort.

Bin deinen Anweisungen gefolgt....

Windowsupdate durchgeführt, allerdings kein SP2; muss auch ohne gehen, oder?

Das Programm Stay connected habe ich schon ewig auf dem Rechner. Habe es trotzdem überprüft, ist sauber.



Das Ergebnis des eScans lautet wie folgt (ich habe die Dateien jetzt noch NICHT gelöscht. Sollte ich das tun und wenn ja wo (also abgesicherter Modus?)? Und warum erscheint da dreimal diegleiche Datei?):

File C:\WINDOWS\System32\msacmx.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\msacmx.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\msacmx.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{3904FC40-1EF4-40F6-B4A5-2B1C4C9A0D16}\RP31\A0024838.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: No Action Taken.



Hier das neue Hijacklogfile:

Logfile of HijackThis v1.98.2
Scan saved at 21:10:26, on 07.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
G:\Programme\DSL\Stay connected\StayCon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
G:\Programme\t-online5\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
G:\Programme\AntiVir\AVGNT.EXE
G:\Programme\t-online5\T-Online_Software_5\Banking\HBRemind.exe
G:\EMAIL\INCRED~1\INCRED~1\bin\IMAPP.EXE
G:\Programme\AntiVir\AVGUARD.EXE
G:\Programme\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
G:\Programme\Sicherheit\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Audio-Videoprogramme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEHelperObj Class - {6754A456-BAD9-11D4-93D3-00B0D03A2F91} - G:\PROGRA~1\ODIGO\BIN\OdigoBHO.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINDOWS\System32\msacmx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Stay Connected] G:\Programme\DSL\Stay connected\StayCon.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ToADiMon.exe] G:\Programme\t-online5\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVGCtrl] "G:\Programme\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [QuickTime Task] "G:\programme\quicktime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [HBRemind] G:\Programme\t-online5\T-Online_Software_5\Banking\HBRemind.exe
O4 - HKCU\..\Run: [IncrediMail] G:\EMAIL\INCRED~1\INCRED~1\bin\IncMail.exe /c
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - G:\EMAIL\INCRED~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099849391062
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab


Und nun?

Lösche die gefundenen Trojaner von eScan im abg. Modus manuell.

Hallo Christian,

zufällig hatte ich die Trojaner grad manuell gelöscht, als ich deinen Beitrag gelesen habe. Gut, dass du icht geschrieben hast, dass ich die auf keinen Fall manuell löschen soll, lach....

Nun habe ich den Rechner wieder zwei Tage ohne Probleme am Laufen. Das Problem scheint also gelöst zu sein. Hier mein aktuelles Hijackthisfile, falls wem dazu noch was einfällt... immer her mit den Kommentaren... und danke!


Logfile of HijackThis v1.98.2
Scan saved at 09:08:01, on 11.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
G:\Programme\DSL\Stay connected\StayCon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
G:\Programme\t-online5\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
G:\Programme\AntiVir\AVGNT.EXE
G:\programme\quicktime\qttask.exe
G:\Programme\t-online5\T-Online_Software_5\Banking\HBRemind.exe
G:\EMAIL\INCRED~1\INCRED~1\bin\IMAPP.EXE
G:\Programme\AntiVir\AVGUARD.EXE
G:\Programme\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
G:\Email\Incredimail\IncrediMail\bin\IncMail.exe
G:\Programme\t-online5\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
G:\Programme\t-online5\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
G:\PROGRA~1\T-ONLI~1\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
G:\Programme\Sicherheit\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Audio-Videoprogramme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEHelperObj Class - {6754A456-BAD9-11D4-93D3-00B0D03A2F91} - G:\PROGRA~1\ODIGO\BIN\OdigoBHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Stay Connected] G:\Programme\DSL\Stay connected\StayCon.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ToADiMon.exe] G:\Programme\t-online5\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVGCtrl] "G:\Programme\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [QuickTime Task] "G:\programme\quicktime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [HBRemind] G:\Programme\t-online5\T-Online_Software_5\Banking\HBRemind.exe
O4 - HKCU\..\Run: [IncrediMail] G:\EMAIL\INCRED~1\INCRED~1\bin\IncMail.exe /c
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - G:\EMAIL\INCRED~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099849391062
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{485A435A-1667-45D2-9AFB-E69189B56056}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{485A435A-1667-45D2-9AFB-E69189B56056}: NameServer = 217.237.149.161 217.237.151.225

SP2 installieren!