Hallo!
Brauche dringend eure Hilfe:
Habe mehrere Probleme:

- Rechner braucht mega lang, bis er hochfährt (bzw. bis eine Aktion ausgeführt werden kann)
- Internetseiten öffnen sich teilweise nach 3 min. erst oder werden oft gar nicht gefunden (ganz "normale seiten" wie web.de etc.)
seltsame pop ups (im Verlauf stehen immer Seiten wie: xlime.offeroptimizercom - oder xyz.offeroptimizer.com - z1.adserver.com)

Weiß echt nicht weiter, was ich mir da eingefangen hab.
Bin neu hier, hoffe, jemand kann damit was anfangen:

Logfile of HijackThis v1.98.2
Scan saved at 01:15:25, on 22.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\mwbmoc.exe
C:\Programme\WinMX\WinMX.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Markus und Nico\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://websearch.drsnsrch.com/sidesearch.cgi?id=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://websearch.drsnsrch.com/sidesearch.cgi?id=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://websearch.drsnsrch.com/sidesearch.cgi?id=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://websearch.drsnsrch.com/sidesearch.cgi?id=
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_p...ount_id=144940
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://websearch.drsnsrch.com/sidesearch.cgi?id=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://websearch.drsnsrch.com/sidesearch.cgi?id=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = websearch.drsnsrch.com/q.cgi?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://freemail.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file)
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: Band Class - {01F44A8A-8C97-4325-A378-76E68DC4AB2E} - C:\WINDOWS\systb.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem302.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {2CDE1A7D-A478-4291-BF31-E1B4C16F92EB} - (no file)
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Win Server Updt] C:\WINDOWS\wupdt.exe
O4 - HKLM\..\Run: [hlpzusg] C:\WINDOWS\System32\mwbmoc.exe
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\Run: [WinMX] C:\Programme\WinMX\WinMX.exe -m
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: AOL 7.0 - {19454A3D-27E1-4803-A857-B76F21B1680B} - C:\Programme\AOL 7.0\aol.exe (file missing) (HKCU)
O9 - Extra button: MedionShop - {811DDDB7-933B-4717-8A6B-4F86A67E0F9F} - http://www.medionshop.de/ (file missing) (HKCU)
O10 - Broken Internet access because of LSP provider 'osmim.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://dld.winwise.t-online.de/Downl...mmon/npwwg.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/retro64_loader.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Sha...in/AvSniff.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...0006_adult.cab
O16 - DPF: {3FE16C08-D6A7-4133-84FC-D5BFB4F7D886} (WebGameLoader Class) - http://zone.msn.com/bingame/rtlw/def...GameLoader.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095589458265
O16 - DPF: {A031D222-B496-11D2-9CC8-00105A10AAF6} (WONWebLauncher Class) - http://62.39.141.134/tools/FlipsideW...herControl.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10...o.cab27513.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/z...ylomloader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.shockwave.com/content/zum...ploader_v5.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.service-url.de/install/StarInstall.ocx
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D80ACDDC-8473-41D3-B673-20E08C5D3D05}: NameServer = 217.237.151.97 217.237.150.33

Vielen Dank schon mal!
Liebe Grüße, Markus

Hallo nickital,

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com

Bitte überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\System32\mwbmoc.exe
C:\WINDOWS\systb.dll
C:\Programme\SideFind\sfbho.dll
C:\Programme\WinMX\WinMX.exe -m
C:\Programme\SideFind\sidefind.dll

teile uns das Ergebnis der Überprüfung mit.

Lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

Teile uns bitte NUR das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen die Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****

SD

hallo Shadowdance,

erstmals vielen Dank für die schnelle Antwort!

Habe es genauso ausgeführt, wie Du beschrieben hast.

1. windowsupdate abgeschlossen

2. mit virusscan.jotti.dhs.org folgendes überprüft, mit Ergebnisse:

C:\WINDOWS\System32\mwbmoc.exe

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

C:\WINDOWS\systb.dll:

Service load: 0% 100%

File: systb.dll
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected: None

AntiVir No viruses found (0.14 seconds taken)
Avast Win32:Trojan-gen. {Other} (1.51 seconds taken)
BitDefender No viruses found (0.35 seconds taken)
ClamAV No viruses found (0.34 seconds taken)
Dr.Web No viruses found (0.48 seconds taken)
F-Prot Antivirus security risk or a "backdoor" program (0.06 seconds taken)
Kaspersky Anti-Virus not-a-virus:AdWare.ToolBar.ImiBar.b (0.58 seconds taken)
mks_vir No viruses found (0.20 seconds taken)
NOD32 No viruses found (0.35 seconds taken)
Norman Virus Control No viruses found (0.12 seconds taken)


C:\Programme\SideFind\sfbho.dll:

Service load: 0% 100%

File: sfbho.dll
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected: UPX

AntiVir TR/Spy.Likesurf.1 (0.14 seconds taken)
Avast Win32:Trojan-gen. {Other} (1.51 seconds taken)
BitDefender Adware.SideFind (0.34 seconds taken)
ClamAV Trojan.Downloader.Istbar-23 (0.33 seconds taken)
Dr.Web No viruses found (0.49 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus not-a-virus:AdWare.ToolBar.SideFind (0.60 seconds taken)
mks_vir Trojan.Downloader.Istbar.Fl (0.21 seconds taken)
NOD32 No viruses found (0.43 seconds taken)
Norman Virus Control No viruses found (0.12 seconds taken)

C:\Programme\SideFind\sidefind.dll:

Service load: 0% 100%

File: sidefind.dll
Status: INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected: UPX

AntiVir TR/Dldr.IstBar.DLL (0.14 seconds taken)
Avast Win32:Trojan-gen. {Other} (1.51 seconds taken)
BitDefender No viruses found (0.44 seconds taken)
ClamAV Trojan.Downloader.Istbar-22 (0.32 seconds taken)
Dr.Web No viruses found (0.50 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus not-a-virus:AdWare.ToolBar.SideFind (0.59 seconds taken)
mks_vir Trojan.Downloader.Istbar.Fl, Trojan.Downloader.Istbar.Gr (0.20 seconds taken)
NOD32 No viruses found (0.41 seconds taken)
Norman Virus Control No viruses found (0.12 seconds taken)


C:\Programme\WinMX\WinMX.exe -m:

DATEI KONNTE NICHT GEFUNDEN WERDEN


3. eScan im abgespeicherten Modus, Ergebnisse:

Total Number of Files Scanned: 61869
=> Total Number of Virus(es) Found: 130
=> Total Number of Disinfected Files: 0
=> Total Number of Files Renamed: 2
=> Total Number of Deleted Files: 57
=> Total Number of Errors: 0

Habe eScan jetzt schon geschlossen, gibt es ne Möglichkeit, die namen der Viren nochmals zu suchen, um dir diese mitteilen zu können? Sorry, dachte, dass ich die Liste wieder aufrufen könnte, finde aber nur "View Log" da erscheinen alle gescannten files und obige Infos, aber nicht die Virennamen.

Der Rechner fährt zwar normal hoch, aber wenn ich mich im Internet anmelden will, bzw. eine Datei öffnen, dann hängt es ein paar Minuten, das heißt ich muss erst warten, bis ich irgendwas starten kann. Beim öffnen des Explorer ging allerdings wieder ein pop-up fenster auf, bzw. unten in der taskleiste erscheint ein Balken, wenn man diesen anklickt geht aber nix auf!!?? Ausserdem startet nicht gleich die eingestellte Seite, sondern es sucht, bis ich auf "Startseite" klicke, dann kommt die Seite erst.

Immerhin hat er 130 Viren gefunden und einige davon auch entfernt.

Nochmals vielen Dank, ich hoffe, Du kannst mir noch weitere Tipps geben, damit ich wieder ganz normal ins Internet kann!

Schöne Grüße,

Markus

Zitat:

=> Total Number of Virus(es) Found: 130

Das ist ne ganze Menge an Malware.

Öffne die mwav.log -> Bearbeiten -> Suchen -> Files Renamed oder Deleted Files eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Hallo Cidre,

danke, aber er findet nur die Anzahl der Deleted Files... aber nicht die Virennamen. Ich bin echt am verzweifeln, da ständig irgendwelche komischen pop ups aufgehen... passiert auch oft, dass ne seite nicht aufgeht.. da kommt dann error page:

http://websearch.drsnsrch.com/sidesearch.cgi?id=

Ich weiß nicht mehr weiter...

Markus

dann suche nach infected in der mwav.log

Vielen Dank euch allen!

Hier sind die Viren/Trojaner, die ich ausfindig machen konnte:

TrojanDownloader.Win32.Intexp
TrojanDownloader.Win32.Stubby.c
TrojanDownloader.Win32.Alchemic
TrojanDownloader.Win32.IstBar.gen
TrojanDownloader.Win32.Agent.de
TrojanDownloader.Win32.Small.eb
TrojanDownloader.Win32.Agent.ae
I-Worm.Sober.g
TrojanDownloader.Win32.Dyfuca.dc
TrojanDownloader.Win32.Agent.ab
TrojanDownloader.Win32.Dyfuca.da
Worm.Win32.Pinom.gen
Backdoor.SdBot.gen
I-Worm.Sober.e
TrojanDownloader.VBS.Psyme.based
TrojanDownloader.Win32.IstBar.gen

Danke! Markus

hi

wenn du escan richtig installiert hast, muss die datei hier liegen

C:\bases\mwav.txt

mit rechtsklick -->öffnen mit editor wählen nun unter bearbeiten -> suchen und hier infected eingeben, dann die zeile markieren und kopieren, hier einfügen, weitersuchen, bis du durch bis, hier ein muster
Thu Sep 30 05:14:38 2004 => File D:\20041504_020402_******\C\Programme\Softwin\BitDefender Free Edition\Infected\eicar.com.nco infected by "EICAR-Test-File" Virus. Action Taken: File Renamed.

hi markus

Backdoor.SdBot.gen --> dein rechner ist kompromittiert, für mich gilt hier format:c

http://www.trojaner-board.de/showpos...36&postcount=1