Trojaner-Board - Neuer Hijacker? Hilfe!!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Neuer Hijacker? Hilfe!! (https://www.trojaner-board.de/25647-neuer-hijacker-hilfe.html)

Neuer Hijacker? Hilfe!!

Wie immer, wenn ich mir schon was einfange, dann vom feinsten. Frisch durch die neu entdeckte WMF-Lücke reingeflutscht. Addaware, Spybot, eScan, AntiVir, BHODaemon, Trend... alles schon gehabt und NIX GEFUNDEN!

Die Links von Suchmaschinen werden zu 60% umgeleitet auf h**p://85.255.117.78/click.php?...usw. von wo ich auf irgendwelchen komischen Seiten lande. Der Internet Explorer ist des Öfteren bei Suchmaschinen 99% CPU-ausgelastet und Outlook braucht ne Ewigkeit zum starten. Keine suspekten Prozesse am Laufen, keine BHO-s, keine Starteinträge oder neue Dienste vorhanden.

MS-Patches sind jetzt auch da (ha-ha, ich weiss: zu spät), hat aber nicht viel gebracht. Wie werd ich den Dreck los?

Im Anhang ist ein Screenshot und hier der HijackThis-Log:

C:\Windows\system32\csrss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\LEXBCES.EXE
C:\Windows\system32\LEXPPS.EXE
C:\Windows\system32\spoolsv.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\svchost.exe
C:\Windows\system32\RunDll32.exe
C:\Programme\Maus(Typhoon)\mouse32a.exe
C:\Programme\cFosSpeed\cFos_Speed.exe
C:\Programme\eScan\eScanWin.EXE
C:\Programme\eScan\kavss.exe
C:\Windows\regedit.com
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Programme\eMule.de\emule.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice IE
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Maus(Typhoon)\mouse32a.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFos_Speed.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121443217714
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programme\cFosSpeed\spd.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\Windows\system32\LEXBCES.EXE

Hallo,
scanne mal dein system mit F-Secure Blacklight und poste das Log (wird nach dem Scan als Textdatei im selben Pfad erzeugt).

ok, sieht so aus:

01/10/06 18:49:17 [Info]: BlackLight Engine 1.0.30 initialized
01/10/06 18:49:17 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/10/06 18:49:17 [Note]: 7019 4
01/10/06 18:49:17 [Note]: 7005 0
01/10/06 18:49:21 [Note]: 7006 0
01/10/06 18:49:21 [Note]: 7011 384
01/10/06 18:49:21 [Note]: FSRAW library version 1.7.1014
01/10/06 18:49:42 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
01/10/06 18:49:42 [Note]: 10002 1
01/10/06 18:49:44 [Info]: Hidden file: C:\WINDOWS\system32\howiper.exe
01/10/06 18:49:44 [Note]: 10002 1
01/10/06 18:49:45 [Info]: Hidden file: C:\WINDOWS\system32\sphlp32.exe
01/10/06 18:49:45 [Note]: 10002 1
01/10/06 18:49:45 [Info]: Hidden file: C:\WINDOWS\system32\favset.exe
01/10/06 18:49:45 [Note]: 10002 1
01/10/06 18:49:47 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe
01/10/06 18:49:47 [Note]: 10002 1
01/10/06 18:49:47 [Info]: Hidden file: C:\WINDOWS\system32\dmwbz.exe
01/10/06 18:49:47 [Note]: 7002 32
01/10/06 18:49:47 [Note]: 7003 1
01/10/06 18:49:47 [Note]: 10002 1
01/10/06 18:49:49 [Info]: Hidden file: C:\WINDOWS\system32\csdgv.exe
01/10/06 18:49:49 [Note]: 7002 32
01/10/06 18:49:49 [Note]: 7003 1
01/10/06 18:49:49 [Note]: 10002 1
01/10/06 18:50:51 [Note]: 7007 0

Hallo,
da haben wir es doch schon, das es allerdings ohne die üblichen O17 Einträge daher kommt ist neu.
Bei Rootkitbefall empfehle ich grundsätzlich das System neu aufzusetzen, diese mal immer schön aktuell halten. Wie du allgemein dabei vorgehen solltest erfährst du hier.

Grüße Wildone

Danke für die schnelle Antwort. Mit format-c habe ich mich schon fast abgefunden, allerdings brauche ich noch ein wenig verständnis:

Sind all die Sachen, die Backlight gefunden hat Trojaner oder was?
Falls es keine Möglichkeit gibt die zu entfernen - ist es machbar sich dagegen zu sichern?

Nochmal vielen Dank
MfG: Tom

Nachtrag: in der Annahme Windows hätte das nicht nötig, habe ich all die Einträge mit Blacklight umbenannt. Daraufhin tauchten einige suspekte Prozesse nach Neustart auf, die ich gekillt und aus dem Autostart genommen habe.
Das Problem ist damit auch beseitigt, habe auch keine versteckten Dateien mehr, trotzdem spüre ich da so einen unerklärlichen Drang dazu alles zu formatieren...