HiJacker, Trojaner, Spyware... keine Ahnung! Bitte helft mir!

raddy · 19.11.2004, 21:45

Moin, moin da draußen,

ich habe mir wohl irgendwas aufgesackt.
Öffne ich den IE öffnen sich Werbeseiten und seit neuestem Fenster, in denen steht, dass ich "ausspioniert" wurde. Keine Angst. Die hab´ ich einfach weggeklickt.
Nun habe ich mir "Ad-Aware SE Personal" runtergeladen und einen Scan gemacht. Gefunden hat er wohl auch drei Objekte (möglicherweise wurde ein Hijack-Versuch unternommen) und mehrere Cookies.
Schön und gut. Aber wie kann ich diese HiJacker nun löschen? Ich kann sie im Programm leider nur in Quarantäne schicken. Öffne ich dann den IE wieder, öffnen sich jedoch wieder die gleichen Seiten.
Da ich von der ganzen Materie so gut, wie gar keine Ahnung habe, antwortet mir doch bitte so, dass selbst ich Dussel das verstehe...
Viele Grüße von der PC-Front

Raddy

chaosman · 19.11.2004, 22:04

@raddy
poste mal ein HJT logfile
http://www.hijackthis.de/
chaosman

raddy · 19.11.2004, 22:11

Ja halli hallo nochmal. Hier ist das Logfile. Hoffentlich hilft´s...

Logfile of HijackThis v1.98.2
Scan saved at 22:09:59, on 19.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\CAPM2RSK.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\CAPM2SWK.EXE
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Eicon\Diva\DiTask.exe
C:\Programme\Eicon\Diva\Divamon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Eicon\Diva\diinfo.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\BusinessOnline\bolog.exe
C:\Programme\BusinessOnline\SpeedMgr.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Programme\Nikon\NkView5\NkvMon.exe
C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAPM2LAK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0B063CFC-1FBC-4385-B3FC-1457D9A8E9D3} - C:\WINDOWS\System32\ehhjaic.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [DiTask.exe] "C:\Programme\Eicon\Diva\DiTask.exe"
O4 - HKLM\..\Run: [Divamon.exe] "C:\Programme\Eicon\Diva\Divamon.exe"
O4 - HKLM\..\Run: [Eicon TechnologyLAN_DAEMON] "C:\Programme\Eicon\Diva\watch.exe"
O4 - HKLM\..\Run: [CGServer] "C:\Programme\Eicon\Diva\cgserver.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [BusinessOnline Log] "C:\Programme\BusinessOnline\bolog.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\BusinessOnline\SpeedMgr.exe"
O4 - HKLM\..\Run: [BOL Master] D:\setup.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
O4 - Global Startup: InkSaverCheck.lnk = ?
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: Statusfenster für Canon iR1200-1300.LNK = C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAPM2LAK.EXE
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O16 - DPF: symsupportutil - https://www-secure.symantec.com/regi...upportutil.CAB
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS...special_de.php
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/01d684ac8802fad...p/RdxIE601.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/regi...ActiveData.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6ABB53A1-251E-4AC9-9DEA-305F3857BB67}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8A8E808-A4AE-4C6D-8803-438CE57545F4}: NameServer = 217.237.150.225 217.237.150.141
O18 - Filter: text/html - {21F63863-60DB-48F0-8685-2B8F07CDDADA} - C:\WINDOWS\System32\ehhjaic.dll
O18 - Filter: text/plain - {21F63863-60DB-48F0-8685-2B8F07CDDADA} - C:\WINDOWS\System32\ehhjaic.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)

raddy · 19.11.2004, 22:41

Wuahh! :-(
Ich geh´ kaputt. Das wird hier alles nichts. Warum haben mir meine Eltern auch immer irgndwelche Teddybären und keine Disketten geschenkt!?

Lidius · 19.11.2004, 22:52

Mach mal folgendes:

Lade den eScan (Anweisung beachten!) runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus (Link beachten!) aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen"

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden.

cacatoa · 19.11.2004, 22:56

@ raddy:

Du mußt bei AdAware SE nur den Quarantäne-Ordner öffnen, das oder die Objekte anclicken und auf löschen gehen.

raddy · 19.11.2004, 23:16

Zitat:

Zitat von cacatoa

@ raddy:

Du mußt bei AdAware SE nur den Quarantäne-Ordner öffnen, das oder die Objekte anclicken und auf löschen gehen.

:-(
Also: das hab´ ich jetzt gemacht. Schon zwei Mal. Dateien ausgewählt und dann gelöscht. Leider immer noch die selbe Problematik. Danke trotzdem!

@Lidius:
Habe das Programm runtergeladen und wollte es nun im abgesicherten Modus (wie im Link beschrieben) starten. Allerdings kann ich den PC nicht abgesichert starten. Läuft immer ganz normal an.
Was mir dabei noch aufgefallen ist: das "Norton AntiVirus-Protect"-Programm ist nach dem neustart inaktiv. Ich glaube, hier ist noch mehr im Argen, als ich anfangs dachte, oder?
Macht mir doch etwas Mut...

Hat denn das HJ-Protokoll irgendwie geholfen den Fehler zu finden?

Danke für Eure Zeit!

cacatoa · 19.11.2004, 23:30

Hi,
ich denke, wir sollten erst mal den abgesicherten Modus hinbekommen. Rechner aus. Rechner an. Durchaus mehrmals F8. Dann den Startmodus wählen (Festplatte), dann abgesicherten Modus auswählen.
Das geht bei Dir auch!

P.S. Du hast noch jede Menge Arbeit vor Dir

Shadowdance · 19.11.2004, 23:42

Hallo raddy,

--> bitte eine Portion Mut ;-) Ich hab schon schlimmere Logfiles gesehen. Ich hab Deines mal ausgewertet. Nun bitte noch den eScan ausführen und das Ergebnis posten. Hier geht's weiter:

--> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com

Bitte überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\System32\CAPM2RSK.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\CAPM2SW K.EXE
C:\Programme\Eicon\Diva\DiTask.exe
C:\Programme\Eicon\Diva\Divamon.exe
C:\Programme\BusinessOnline\bolog.exe
C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Programme\Nikon\NkView5\NkvMon.exe
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAPM2LA K.EXE
C:\WINDOWS\System32\ehhjaic.dll

teile uns das Ergebnis der Überprüfung mit.

Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O4 - Global Startup: InkSaverCheck.lnk = ?

O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab

O18 - Filter: text/html - {21F63863-60DB-48F0-8685-2B8F07CDDADA} - C:\WINDOWS\System32\ehhjaic.dll
O18 - Filter: text/plain - {21F63863-60DB-48F0-8685-2B8F07CDDADA} - C:\WINDOWS\System32\ehhjaic.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)

wenn Du diese Einträge nicht kennst/brauchst, bitte fixen:

O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - h**ps://components.viewpoint.com/MT...dspecial_de.php

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://207.188.7.150/01d684ac8802fa...ip/RdxIE601.cab

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

Lade (falls nötig) das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

SD

HiJacker, Trojaner, Spyware... keine Ahnung! Bitte helft mir!

Plagegeister aller Art und deren Bekämpfung: HiJacker, Trojaner, Spyware... keine Ahnung! Bitte helft mir!