Fujacks-type Worm und smartsearch Browser Hijacker gefunden! Was nun?
 

Hallo Leute,

nun hat es also auch mich getroffen.
Ich hab mal den eScan und Hijack drüberlaufen lassen.
Hoffe, Ihr könnt mir sagen, was ich nun tun muss, um mein System wieder sauber zu bekommen.

Danke schon mal, Gruß

PC-Monster

Hier zunächst eScan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.4.2
Sprache: German
Virus-Datenbank Datum: 9/13/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with coolwwwsearch.smartsearch Browser Hijacker (image.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with coolwwwsearch.smartsearch Browser Hijacker (image.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with coolwwwsearch.smartsearch Browser Hijacker (image.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with coolwwwsearch.smartsearch Browser Hijacker (image.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with coolwwwsearch.smartsearch Browser Hijacker (image.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with coolwwwsearch.smartsearch Browser Hijacker (image.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with coolwwwsearch.smartsearch Browser Hijacker (image.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with coolwwwsearch.smartsearch Browser Hijacker (image.dll)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\USER.INTERNET\Eigene Dateien\tools\nero-6\install_1\nero 6 ultra edition\nero\image.dll
Offending file found: C:\Dokumente und Einstellungen\USER.INTERNET\Eigene Dateien\tools\nero-6\install_1\neromix\neromix\api\image.dll
Offending file found: C:\Dokumente und Einstellungen\USER.INTERNET\Eigene Dateien\tools\nero-6\install_1\nerovision express 2\nerovision\nerofiles\image.dll
Offending file found: C:\Dokumente und Einstellungen\USER.INTERNET\Eigene Dateien\tools\nero-6\install_2\nero\image.dll
Offending file found: C:\Dokumente und Einstellungen\USER.INTERNET\Eigene Dateien\tools\nero-6\install_1\nero 6 ultra edition\nero\image.dll
Offending file found: C:\Dokumente und Einstellungen\USER.INTERNET\Eigene Dateien\tools\nero-6\install_1\neromix\neromix\api\image.dll
Offending file found: C:\Dokumente und Einstellungen\USER.INTERNET\Eigene Dateien\tools\nero-6\install_1\nerovision express 2\nerovision\nerofiles\image.dll
Offending file found: C:\Dokumente und Einstellungen\USER.INTERNET\Eigene Dateien\tools\nero-6\install_2\nero\image.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5a917120-dc1b-11db-9ac5-0050fc3bdb6e} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Temp\gtb5.tmp.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Temp\gtb5.tmp.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 50281
Gefundene Viren: 9
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 62
Dauer des Scans bisher: 00:52:37
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 6:50:26,40
Batchende: 6:51:17,78


#############################
#############################

Und hier noch Hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:53:07, on 19.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.hotmail.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.alice-dsl.de
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 4690 bytes

Hallo,
was hat dich getroffen? :confused: Gibt es außer dem eScan irgendeinen Hinweis auf Schädlingsbefall?

Das sieht mir nach einem eScan-typischen Fehlalarm aus. Kannst du meiner Meinung nach ignorieren.
All diese "offending files" hängen mit einer Nero-Installation zusammen. Falls du Nero aus einer vertrauenswürdigen Quelle hast, dürften auch sie Fehlalarme sein; wenn nicht, nicht. ;)
Lade dir Ccleaner, ohne die bei der Installation angebotene Toolbar, und lass ihn alles löschen, was er dir vorschlägt. Schau danach einfach in den Ordner C:\Temp, nachdem du ggf. versteckte Dateien und Ordner sichtbar gemacht hast. Wenn die beiden .cab-Dateien dann gelöscht sind, sollte es gut sein.

In deinem HijackThis-Logfile sehe ich nichts Auffälliges. Allerdings benötigt deine Java-Version ein Update.

Hallo Franz


> Gibt es außer dem eScan irgendeinen Hinweis auf Schädlingsbefall?

Nun ja, AntiVir findet nichts, und Search&Destroy hat nur ein paar Cookies gefunden. Aber der eScan hat mich dann doch irgendwie verunsichert.


> Falls du Nero aus einer vertrauenswürdigen Quelle hast, dürften auch sie
> Fehlalarme sein; wenn nicht, nicht.

joh, joh, des basst scho... ;)

> Lade dir ccleaner.com...

Werde ich machen, allerdings erst heute abend, da ich nun auf der Arbeit bin.

Vielen Dank schon mal, Gruß vom PC-Monster

P.S.: Das mit dem Zitieren hat nicht so ganz geklappt, aber ich denke man kanns auch so lesen...:rolleyes:

Ich meinte eigentlich: Gab es einen konkreten Anlass, den doch ziemlich aufwändigen eScan durchzuführen?

Ach so,

also eigentlich nicht. Letztens hab ich den PC von 'nem Kumpel gecheckt.
Der hatte (so wie ich) lediglich den AntiVir laufen, und hatte dann doch eine Menge Trojaner auf seinem Rechner.

Und da dachte ich halt, check mal Deinen Pc durch...

Tja, und der eScan hat eben auch was angezeigt, und da bin ich eben "leicht in Panik" gefallen... :rolleyes:

Ich poste dann heute abend noch mal das Ergebnis von CClean

CCleaner ist kein Virenscanner, sondern ein Tool, das deine Festplatte von Datenmüll bereinigt, wie z. B. von temporären Dateien.
Eben deshalb habe ich ihn dir empfohlen. Denn gelöschte temporäre Dateien können auch nicht im eScan-Log auftauchen und den User verwirren. ;)