Trojaner-Board - IE verseucht - Anfänger bittet um Hilfe!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - IE verseucht - Anfänger bittet um Hilfe! (https://www.trojaner-board.de/11671-ie-verseucht-anfaenger-bittet-um-hilfe.html)

IE verseucht - Anfänger bittet um Hilfe!

Hallo Leute,

auch ich habe mir jetzt etwas Hartnäckiges eingefangen: Beim Start meines IEs im Offline-Modus erscheint in der Adressleiste die Zeile "res://panfe.dll/http_404.htm", und wenn ich online bin, dauert der Start erstmal verdächtig lange, dann bekomme ich als Startseite immer nur "about:blank". Jeder Versuch einer Änderung der Startseite wird sofort rückgängig gemacht - nicht erst bei Neustart des IE bzw. Windows. Mein Virenscanner meldet dann immer wieder Viren des Typs Win32.Agent.al sowie ...bc und andere. Ich habe die Viren mit Hilfe von AntiVir sowie e-Scan entfernt (hoffe ich), außerdem Spybot sowie AdAware und CWShredder (hat nichts gefunden) laufen lassen. Leider ohne Erfolg.
Ich habe auch einige Einträge gefixt, die bei der automatischen Hijack-Auswertung als "böse" eingestuft wurden, aber mich nicht getraut, irgendwelche unbekannten Objekte zu bearbeiten.
Vielleicht weiß hier jemand was mit meiner Log-Datei anzufangen, für jede Hilfe schon mal im Vorraus besten Dank!
(Um dies zu posten, bin ich erstmal auf Mozilla umgestiegen....und bleibe wohl auch dabei!)

Logfile of HijackThis v1.99.0
Scan saved at 13:54:23, on 03.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\TOOLS\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von ONLINE TODAY
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
R3 - Default URLSearchHook is missing
F1 - win.ini: run=C:\WINDOWS\hpfsched.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Class - {935BB868-D573-FCBF-9F0F-F1E0E429CD01} - C:\WINDOWS\APPEX32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [D066UUtility] C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Download with Go!Zilla - file://C:\PROGRAMME\GO!ZILLA\download-with-gozilla.html
O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/sof...iveXPlugin.cab

@Badileus
die trusted zones bekommst du hiermit weg
hier
wechsle dann in den abgesicherten modus und fixe mit HJT
R3 - Default URLSearchHook is missing
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
neu booten
poste dann ein neues HJT logfile
chaosman

Erstmal danke für die schnelle Antwort. Habe alles so gemacht wie empfohlen, den IE aber noch nicht wieder gestartet. Sicherheitshalber poste ich also erstmal mein neues Log:

Logfile of HijackThis v1.99.0
Scan saved at 20:28:48, on 05.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\TOOLS\HIJACKTHIS\HIJACKTHIS.EXE
C:\WINDOWS\NOTEPAD.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von ONLINE TODAY
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
F1 - win.ini: run=C:\WINDOWS\hpfsched.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Class - {935BB868-D573-FCBF-9F0F-F1E0E429CD01} - C:\WINDOWS\APPEX32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [D066UUtility] C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Download with Go!Zilla - file://C:\PROGRAMME\GO!ZILLA\download-with-gozilla.html
O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/sof...iveXPlugin.cab

Dies solltest du noch ausführen:
- IE updaten, sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org

@Badileus

mache es wie Cidre postete, update dein IE über windowsupdate, benütze zum surfen lieber den firefoxbrowser
in dein logfile ist nichts auffälliges mehr
chaosman

Poste hier auch mal mein LOG FILE, vielleicht kann mir jemand helfen. Habe das about:blank - "Problem" ! Vielen Dank schon mal

Logfile of HijackThis v1.99.0
Scan saved at 21:59:46, on 05.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NVATray.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Owner\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: DOMP Class - {4C1B116F-2860-46db-8E6C-B4BFC4DFD683} - C:\WINDOWS\ietlbass.dll
O2 - BHO: (no name) - {5833DDF8-D961-4283-B51E-E8B4BE9EBA24} - C:\WINDOWS\System32\icnno.dll (file missing)
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: SToolbar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\toolband.dll
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.power-url.de/StarInstall.ocx
O18 - Filter: text/html - {5F77E8EE-93CC-49D6-96B9-B089A85B88D3} - C:\WINDOWS\System32\icnno.dll
O18 - Filter: text/plain - {5F77E8EE-93CC-49D6-96B9-B089A85B88D3} - C:\WINDOWS\System32\icnno.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Das Problem ist leider noch nicht behoben: Nach Start meines IE (offline, dauerte immer noch verdächtig lange) und Wahl der google-Seite bekam ich wieder im Adressenfenster die Zeile: "res://panfe.dll/http_404.htm"
Ein neuer Hijack-Scan zeigte auch gleich wieder neue Zeilen (search, search assistant..), auch die Zeile mit dem "URLSearchHook missing" ist wieder da. Diese Zeilen waren bei einem früheren Scan nicht zu finden, bringt es was, die angegebenen Dateien (z.B. juzgx.dll) nur zu fixen (bzw. zu löschen)?

Logfile of HijackThis v1.99.0
Scan saved at 16:04:28, on 06.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\juzgx.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\juzgx.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\juzgx.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\juzgx.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\juzgx.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\juzgx.dll/sp.html#10001
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\juzgx.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von ONLINE TODAY
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
R3 - Default URLSearchHook is missing
F1 - win.ini: run=C:\WINDOWS\hpfsched.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Class - {935BB868-D573-FCBF-9F0F-F1E0E429CD01} - C:\WINDOWS\APPEX32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [D066UUtility] C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Download with Go!Zilla - file://C:\PROGRAMME\GO!ZILLA\download-with-gozilla.html
O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/sof...iveXPlugin.cab

In der Hoffnung, daß mir doch noch jemand helfen kann, noch ein letzter Hilferuf:
Auch nach Fixen der neuen "Search"-Zeilen im Log und Löschen der dll-Datei ist der verflixte Virus immer noch da. Gleiche Probleme wie untern beschrieben beim Start des IE (auch offline). Jedesmal erscheinen bei einem neuen Hijackthis-Scan wieder andere "Search"- Zeilen mit Bezug zu einer anderen dll-Datei, diesmal Windows\System\adxff.dll. Ich war seit Auftreten des ersten Problems nicht mehr im Internet mit dem IE, woher kommen diese Dateien? Bin für jeden Tip unendlich dankbar!

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\adxff.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\adxff.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\adxff.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\adxff.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\adxff.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\adxff.dll/sp.html#10001
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\adxff.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von ONLINE TODAY
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=ftp.btx.dtag.de:80;gopher=gopher.btx.dtag.de:80;http=proxy.btx.dtag.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost; t-online.de;<local>
R3 - Default URLSearchHook is missing

@Badileus
lade dir escan
download
lese der anleitunghier
mache es genauso wie beschrieben wird.
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

@onestar
öffne bitte einen eigenen thread, wird anders arg unübersichtlich

chaosman

So, ich hab jetzt E-Scan im abgesicherten Modus laufen lassen und auch eine stattliche Ausbeute an Infekten erhalten. Wäre begeistert, wenn jemand sich die Mühe machen würde, das Ganze mal durchzusehen. Danke!

Sat Jan 08 14:12:09 2005 => File C:\WINDOWS\APPEX32.DLL infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Sat Jan 08 14:12:46 2005 => File C:\WINDOWS\appex32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Sat Jan 08 14:12:46 2005 => File C:\WINDOWS\iccdem.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Sat Jan 08 14:12:47 2005 => File C:\WINDOWS\rpjorl.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Sat Jan 08 14:12:47 2005 => File C:\WINDOWS\yzfqan.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Sat Jan 08 14:12:47 2005 => File C:\WINDOWS\lymtmc.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Sat Jan 08 14:12:48 2005 => File C:\WINDOWS\nvghcz.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Sat Jan 08 14:12:49 2005 => File C:\WINDOWS\cwfwij.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Sat Jan 08 14:12:49 2005 => File C:\WINDOWS\bivdqz.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Sat Jan 08 14:12:49 2005 => File C:\WINDOWS\ptthpz.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Sat Jan 08 14:12:50 2005 => File C:\WINDOWS\pmffvz.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Sat Jan 08 14:12:50 2005 => File C:\WINDOWS\zegqmg.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Sat Jan 08 14:27:14 2005 => File C:\WINDOWS\appex32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Sat Jan 08 14:27:15 2005 => File C:\WINDOWS\iccdem.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Sat Jan 08 14:27:15 2005 => File C:\WINDOWS\rpjorl.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Sat Jan 08 14:27:15 2005 => File C:\WINDOWS\yzfqan.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Sat Jan 08 14:27:16 2005 => File C:\WINDOWS\lymtmc.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Sat Jan 08 14:27:16 2005 => File C:\WINDOWS\nvghcz.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Sat Jan 08 14:27:17 2005 => File C:\WINDOWS\cwfwij.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Sat Jan 08 14:27:17 2005 => File C:\WINDOWS\bivdqz.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Sat Jan 08 14:27:18 2005 => File C:\WINDOWS\ptthpz.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Sat Jan 08 14:27:18 2005 => File C:\WINDOWS\pmffvz.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Sat Jan 08 14:27:18 2005 => File C:\WINDOWS\zegqmg.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Sat Jan 08 15:15:04 2005 => File C:\m00.exe infected by "Trojan-Downloader.Win32.WinShow.ar" Virus. Action Taken: No Action Taken.

Endlich, Problem scheint behoben! Habe alle von E-Scan angezeigten Dateien gelöscht und danach mit Hijjackthis gefixt. Nochmals Dank an chaosman und Cidre für die Hilfe!