Moin, moin da draußen,

ich habe mir wohl irgendwas aufgesackt.
Öffne ich den IE öffnen sich Werbeseiten und seit neuestem Fenster, in denen steht, dass ich "ausspioniert" wurde. Keine Angst. Die hab´ ich einfach weggeklickt.
Nun habe ich mir "Ad-Aware SE Personal" runtergeladen und einen Scan gemacht. Gefunden hat er wohl auch drei Objekte (möglicherweise wurde ein Hijack-Versuch unternommen) und mehrere Cookies.
Schön und gut. Aber wie kann ich diese HiJacker nun löschen? Ich kann sie im Programm leider nur in Quarantäne schicken. Öffne ich dann den IE wieder, öffnen sich jedoch wieder die gleichen Seiten.
Da ich von der ganzen Materie so gut, wie gar keine Ahnung habe, antwortet mir doch bitte so, dass selbst ich Dussel das verstehe...
Viele Grüße von der PC-Front

Raddy

@raddy
poste mal ein HJT logfile
http://www.hijackthis.de/
chaosman

Ja halli hallo nochmal. Hier ist das Logfile. Hoffentlich hilft´s...


Logfile of HijackThis v1.98.2
Scan saved at 22:09:59, on 19.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\CAPM2RSK.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\CAPM2SWK.EXE
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Eicon\Diva\DiTask.exe
C:\Programme\Eicon\Diva\Divamon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Eicon\Diva\diinfo.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\BusinessOnline\bolog.exe
C:\Programme\BusinessOnline\SpeedMgr.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Programme\Nikon\NkView5\NkvMon.exe
C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAPM2LAK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0B063CFC-1FBC-4385-B3FC-1457D9A8E9D3} - C:\WINDOWS\System32\ehhjaic.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [DiTask.exe] "C:\Programme\Eicon\Diva\DiTask.exe"
O4 - HKLM\..\Run: [Divamon.exe] "C:\Programme\Eicon\Diva\Divamon.exe"
O4 - HKLM\..\Run: [Eicon TechnologyLAN_DAEMON] "C:\Programme\Eicon\Diva\watch.exe"
O4 - HKLM\..\Run: [CGServer] "C:\Programme\Eicon\Diva\cgserver.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [BusinessOnline Log] "C:\Programme\BusinessOnline\bolog.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\BusinessOnline\SpeedMgr.exe"
O4 - HKLM\..\Run: [BOL Master] D:\setup.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
O4 - Global Startup: InkSaverCheck.lnk = ?
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: Statusfenster für Canon iR1200-1300.LNK = C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAPM2LAK.EXE
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O16 - DPF: symsupportutil - https://www-secure.symantec.com/regi...upportutil.CAB
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS...special_de.php
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/01d684ac8802fad...p/RdxIE601.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/regi...ActiveData.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6ABB53A1-251E-4AC9-9DEA-305F3857BB67}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8A8E808-A4AE-4C6D-8803-438CE57545F4}: NameServer = 217.237.150.225 217.237.150.141
O18 - Filter: text/html - {21F63863-60DB-48F0-8685-2B8F07CDDADA} - C:\WINDOWS\System32\ehhjaic.dll
O18 - Filter: text/plain - {21F63863-60DB-48F0-8685-2B8F07CDDADA} - C:\WINDOWS\System32\ehhjaic.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)

Wuahh! :-(
Ich geh´ kaputt. Das wird hier alles nichts. Warum haben mir meine Eltern auch immer irgndwelche Teddybären und keine Disketten geschenkt!?

Mach mal folgendes:

Lade den eScan (Anweisung beachten!) runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus (Link beachten!) aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen"

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden.

@ raddy:

Du mußt bei AdAware SE nur den Quarantäne-Ordner öffnen, das oder die Objekte anclicken und auf löschen gehen.

Zitat:

Zitat von cacatoa

@ raddy:

Du mußt bei AdAware SE nur den Quarantäne-Ordner öffnen, das oder die Objekte anclicken und auf löschen gehen.

:-(
Also: das hab´ ich jetzt gemacht. Schon zwei Mal. Dateien ausgewählt und dann gelöscht. Leider immer noch die selbe Problematik. Danke trotzdem!

@Lidius:
Habe das Programm runtergeladen und wollte es nun im abgesicherten Modus (wie im Link beschrieben) starten. Allerdings kann ich den PC nicht abgesichert starten. Läuft immer ganz normal an.
Was mir dabei noch aufgefallen ist: das "Norton AntiVirus-Protect"-Programm ist nach dem neustart inaktiv. Ich glaube, hier ist noch mehr im Argen, als ich anfangs dachte, oder?
Macht mir doch etwas Mut...

Hat denn das HJ-Protokoll irgendwie geholfen den Fehler zu finden?

Danke für Eure Zeit!

Hi,
ich denke, wir sollten erst mal den abgesicherten Modus hinbekommen. Rechner aus. Rechner an. Durchaus mehrmals F8. Dann den Startmodus wählen (Festplatte), dann abgesicherten Modus auswählen.
Das geht bei Dir auch!

P.S. Du hast noch jede Menge Arbeit vor Dir

Das Problem dabei ist glaube ich, dass da gar nicht steht "Windows wird gestartet".
Erst kommt ein Bild "Windows XP" und im Anschluß daran gleich die Anmeldung bei den verschiedenen Profilen.
(Während ich den Text hier geschrieben habe ging schon wieder so´n blödes Fenster auf... :-().
Du mir hast keinen Mut gemacht. Bin ich hoffnungslos verloren?

F 8 drücken, gleich wenn er anfängt hochzufahren, probiers mal noch bevor "Windows XP" kommt.

Na gut, dann mach´ ich das mal und melde mich dann wieder bei Dir.
*daswirdnelangenacht*

Hallo raddy,

--> bitte eine Portion Mut ;-) Ich hab schon schlimmere Logfiles gesehen. Ich hab Deines mal ausgewertet. Nun bitte noch den eScan ausführen und das Ergebnis posten. Hier geht's weiter:

--> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com

Bitte überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\System32\CAPM2RSK.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\CAPM2SW K.EXE
C:\Programme\Eicon\Diva\DiTask.exe
C:\Programme\Eicon\Diva\Divamon.exe
C:\Programme\BusinessOnline\bolog.exe
C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Programme\Nikon\NkView5\NkvMon.exe
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAPM2LA K.EXE
C:\WINDOWS\System32\ehhjaic.dll

teile uns das Ergebnis der Überprüfung mit.

Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O4 - Global Startup: InkSaverCheck.lnk = ?

O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab

O18 - Filter: text/html - {21F63863-60DB-48F0-8685-2B8F07CDDADA} - C:\WINDOWS\System32\ehhjaic.dll
O18 - Filter: text/plain - {21F63863-60DB-48F0-8685-2B8F07CDDADA} - C:\WINDOWS\System32\ehhjaic.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)

wenn Du diese Einträge nicht kennst/brauchst, bitte fixen:

O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - h**ps://components.viewpoint.com/MT...dspecial_de.php

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://207.188.7.150/01d684ac8802fa...ip/RdxIE601.cab

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

Lade (falls nötig) das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

SD

@ SD:

Mach doch nicht so viel auf einmal; er muß jetzt doch erst mal den abgesicherten Modus hinkriegen!

@ cacatoa

mag schon sein, aber raddy wollte Mut, und ich bin nicht die ganze Nacht wach ... und wenn nichts mehr hilft, geht immer noch das: Nachhilfe-Unterricht

SD

So, nach etwa zwei Stunden bin ich nun wieder da und Ihr schlaft alle. Na sowas! ;-)
Kann ich aber verstehen. Mir fallen auch gleich die Augen zu. Ich hab´ das nun also endlich mit dem Systemstart hinbekommen und das Programm laufen alssen. Verdammte Naht: was da alles so drauf ist...
Also: anliegend die Auswertung.
Hoffentlich könnt Ihr mir helfen. Und gaaaanz einfach bitte... ;-)
Oder wäre es das einfachste, wenn ich das Programm kaufen würde? Ich fühl´ mich einfach zu doof dafür.
Obwohl: bis hier hin ging´s ja auch. Und wenn Ihr Geduld mit mir habt...

Danke nochmal übrigens für den "Mutzuspruch"! ;-)



Fri Nov 19 23:50:11 2004 => File C:\WINDOWS\System32\ehhjaic.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken.

Fri Nov 19 23:50:19 2004 => ERROR!!! Invalid Entry System32\DRIVERS in SYSTEM\CurrentControlSet\Services\BOProtocol...

Fri Nov 19 23:50:33 2004 => File C:\WINDOWS\internet.exe infected by "Trojan-Downloader.Win32.Agent.ez" Virus. Action Taken: No Action Taken.

Fri Nov 19 23:51:06 2004 => File C:\WINDOWS\System32\ehhjaic.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken.

Fri Nov 19 23:52:39 2004 => File C:\WINDOWS\System32\vbsys2.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.

Fri Nov 19 23:52:53 2004 => Scanning File C:\DOKUME~1\Marc\LOKALE~1\Temp\trojan.avc [**]

Fri Nov 19 23:52:53 2004 => Scanning File C:\DOKUME~1\Marc\LOKALE~1\Temp\virus.avi [**]

Fri Nov 19 23:53:12 2004 => Scanning Folder: C:\DELL\T-Online Setup\T-Dialer\*.*
Fri Nov 19 23:53:12 2004 => Scanning File C:\DELL\T-Online Setup\T-Dialer\b_cancel.JPG [**]
Fri Nov 19 23:53:12 2004 => Scanning File C:\DELL\T-Online Setup\T-Dialer\b_close.jpg [**]
Fri Nov 19 23:53:12 2004 => Scanning File C:\DELL\T-Online Setup\T-Dialer\b_connec.JPG [**]
Fri Nov 19 23:53:12 2004 => Scanning File C:\DELL\T-Online Setup\T-Dialer\b_discon.jpg [**]
Fri Nov 19 23:53:12 2004 => Scanning File C:\DELL\T-Online Setup\T-Dialer\Main_bg.jpg [**]
Fri Nov 19 23:53:12 2004 => Scanning File C:\DELL\T-Online Setup\T-Dialer\Mask_bg.jpg [**]
Fri Nov 19 23:53:12 2004 => Scanning File C:\DELL\T-Online Setup\T-DIALER.EXE
Fri Nov 19 23:53:12 2004 => Scanning File C:\DELL\T-Online Setup\T-DIALER.INI [**]-> ist das was schlimmes? Steht ja „Dialer“ bei....

Sat Nov 20 01:00:49 2004 => File C:\WINDOWS\SYSTEM32\ehhjaic.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken.

Sat Nov 20 01:02:53 2004 => File C:\WINDOWS\SYSTEM32\vbsys2.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.

Sat Nov 20 01:03:59 2004 => File C:\WINDOWS\internet.exe infected by "Trojan-Downloader.Win32.Agent.ez" Virus. Action Taken: No Action Taken.

Komplette Virus-Scannung?:


Sat Nov 20 01:04:01 2004 => ***** Checking for specific ITW Viruses *****
Sat Nov 20 01:04:01 2004 => Checking for Welchia Virus...
Sat Nov 20 01:04:01 2004 => Checking for LovGate Virus...
Sat Nov 20 01:04:01 2004 => Checking for CodeRed Virus...
Sat Nov 20 01:04:01 2004 => Checking for OpaServ Virus...
Sat Nov 20 01:04:01 2004 => Checking for Sobig.e Virus...
Sat Nov 20 01:04:01 2004 => Checking for Winupie Virus...
Sat Nov 20 01:04:01 2004 => Checking for Swen Virus...
Sat Nov 20 01:04:01 2004 => Checking for JS.Fortnight Virus...
Sat Nov 20 01:04:01 2004 => Checking for Novarg Virus...
Sat Nov 20 01:04:01 2004 => Checking for Pagabot Virus...
Sat Nov 20 01:04:01 2004 => Checking for Parite.b Virus...
Sat Nov 20 01:04:01 2004 => Checking for Parite.a Virus...

Sat Nov 20 01:04:01 2004 => ***** Scanning complete. *****


Gute Nacht und bis morgen! Danke nochmal!