Trojaner-Board - Startseite: "searchfor" lässt sich nicht löschen. Außerdem lässtige Nachrichtena

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Startseite: "searchfor" lässt sich nicht löschen. Außerdem lässtige Nachrichtena (https://www.trojaner-board.de/11910-startseite-searchfor-laesst-loeschen-ausserdem-laesstige-nachrichtena.html)

Startseite: "searchfor" lässt sich nicht löschen. Außerdem lässtige Nachrichtena

seit gestern erscheint bei mir nur noch eine unerwünschte startseite. Im suchfenster des ie erscheint nur about:blank. außerdem bekomme ich ständig kleine pop up fenster, die mir sagen ich sei infiziert.ich hab schon pestpatrol durchlaufen lassen. ich nutze zonealarm und antivir.
was soll ich tun. ich weiß übrigens nicht wie ich ein log post(e)!

Wie poste ich ein HijackThis-Logfile: http://www.trojaner-board.de/51130-a...ijackthis.html

Servus !
hier also nun mein Problem LOG:

Logfile of HijackThis v1.99.0
Scan saved at 19:02:21, on 10.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\CTsvcCDA.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\PESTPA~1\PPCONT~1.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\explorer.exe
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.versatel.de/internet-cd/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5FA9688E-EEE7-4BA7-9E24-A2A556E0AD24} - C:\WINNT\system32\nfln.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: T1 - {4180A6C9-26D0-4A15-A2CD-A24E3178E386} - C:\PROGRA~1\LANGEN~1.0\Engine\mte\StdAlone\T1IE.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\PROGRA~1\Ahead\NEROPH~1\data\Xtras\mssysmgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.69/FPEo9DfrzzwSeiP...::/on-line.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://hitcounter.ath.cx/loud.chm::/bridge-c18.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{280FDB4B-4117-44C1-87C2-33D40A1B1D72}: NameServer = 212.7.148.65 212.7.148.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{280FDB4B-4117-44C1-87C2-33D40A1B1D72}: NameServer = 212.7.148.65 212.7.148.97
O18 - Filter: text/html - {C8394083-3ED0-4FA3-8BB9-35336133B816} - C:\WINNT\system32\nfln.dll
O18 - Filter: text/plain - {C8394083-3ED0-4FA3-8BB9-35336133B816} - C:\WINNT\system32\nfln.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINNT\system32\vbsys2 (file missing)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTsvcCDA.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Leadtek Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

Hoffe ihr könnt helfen!

Überprüfe folgende Datei online bei http://virusscan.jotti.org/de
C:\WINNT\system32\nfln.dll
falls du die Datei nicht findest, nimm folgende Einstellungen im Windows-Explorer vor:
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Fixe folgendes im abgesicherten Modus (beim booten F8 drücken)

Alle R-Einträge, außer von dir gewollte.

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.69/FPEo9DfrzzwSei...m::/on-line.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://hitcounter.ath.cx/loud.chm::/bridge-c18.cab

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINNT\system32\vbsys2 (file missing)

Melde dich mit einem neuen Log und dem Ergebnis von Jotti wieder.

sorry. ich bin absoluter neuling in diesem bereich. was meinst du mit fixen. welches programm nehme ich dazu. oder wie komme ich an solche einträge überhaupt ran

das kam übrigens bei joggi raus:

Service load: 0% 100%

File: nfln.dll
Status: POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: this file was only classified as malware by scanners known to generate more false positives than the average scanner. Do not consider these results definately accurate. Also, because of this, results of this scan will not be recorded in the database.)
Packers detected: None

AntiVir No viruses found (0.68 seconds taken)
Avast Win32:Startpage-006 (3.15 seconds taken)
BitDefender No viruses found (0.76 seconds taken)
ClamAV Trojan.Startpage-134 (0.81 seconds taken)
Dr.Web No viruses found (1.09 seconds taken)
F-Prot Antivirus No viruses found (0.12 seconds taken)
Kaspersky Anti-Virus No viruses found (1.39 seconds taken)
mks_vir No viruses found (0.37 seconds taken)
NOD32 No viruses found (0.78 seconds taken)
Norman Virus Control No viruses found (0.22 seconds taken)

Fixen: mit HjT scannen, Haken setzen und "fix checked" anklicken.

Da das Ergebnis von Jotti schon vorliegt, bitte zusätzlich folgendes fixen:

O2 - BHO: (no name) - {5FA9688E-EEE7-4BA7-9E24-A2A556E0AD24} - C:\WINNT\system32\nfln.dll

O18 - Filter: text/html - {C8394083-3ED0-4FA3-8BB9-35336133B816} - C:\WINNT\system32\nfln.dll
O18 - Filter: text/plain - {C8394083-3ED0-4FA3-8BB9-35336133B816} - C:\WINNT\system32\nfln.dll

lösche dann manuell: C:\WINNT\system32\nfln.dll

man hat ja kein gutes gefühl dabei was aus system32 zu löschen. aber man staune. hat alles geklappt. vielen dank für deine schnelle hilfe. ich wurde vor einer system neuinstallation bewahrt.
grüsse

Als Vorbeugung:
http://www.mathematik.uni-marburg.de...ompromise.html
http://www.trojaner-board.de/showpos...28&postcount=2 (formatieren musst du natürlich nicht, aber die Tipps sind trotzdem gut :) )

mfg Haui