|
Bin total searchweb2-verseucht: Bitte helft mir! Hallo zusammen, ich bin absolut neu in diesem Forum und hoffe daher, dass Ihr mir helfen könnt. Seit ein paar Tagen habe ich an meinem PC den Effekt, dass mir im IE eine zusätzliche Toolbar dargestellt wird. Außerdem erscheint am unteren Bildrand eine zweizeilige Menüleiste mit Links wie "Make Money" usw. Wenn ich mir die Eigenschaften der Menüleiste anzeigen lasse, sehe ich, dass sie von searchweb2.com kommt. Ich bin völlig verzweifelt und weiss nicht mehr, was ich tun soll. Bitte helft mir! Hier der Logfile: Logfile of HijackThis v1.98.2 Scan saved at 13:26:58, on 22.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\sstray.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Winamp\Winampa.exe C:\Programme\Messenger Plus! 3\MsgPlus.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe c:\progra~1\intern~1\iexplore.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\adebiasi\Lokale Einstellungen\Temp\HijackThis.exe C:\Programme\Internet Explorer\iexplore.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bbvdcpaieridznlksf.com/Vy...RNmCsK1W6.html O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {08431209-8B8F-C546-3CDC-474FE5639398} - C:\DOKUME~1\adebiasi\ANWEND~1\ARMYBA~1\antidefy.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: (no name) - {BF55256A-3B3B-11D2-B05B-000001145917} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [Soft drv pure data] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bend Comp Soft Drv\antiitch.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [hopeflaw] C:\DOKUME~1\adebiasi\ANWEND~1\BURNBA~1\Interdrawproxy.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O17 - HKLM\System\CCS\Services\Tcpip\..\{CBFBB44C-B633-45C4-9F1C-0FED32E83684}: NameServer = 192.168.1.1,0.0.0.0 Herzlichen Dank und ein schönes Wochenende! Matthias |
Hallo matze62, Platform: Windows XP SP1 (WinNT 5.01.2600) - Dein Betriebssystem ist nicht auf dem aktuellen Stand, besuche www.windowsupdate.com. Überprüfe mit dem online-scan von Kaspersky: C:\DOKUME~1\adebiasi\ANWEND~1\ARMYBA~1\antidefy.exe C:\DOKUME~1\adebiasi\ANWEND~1\BURNBA~1\Interdrawpr oxy.exe Teile uns das Ergebnis der Überprüfung mit. Sende diese Dateien, wenn sie infiziert sind, an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck). =====@===== Spybot-Forschung: arbeite das Tutorial Punkt für Punkt durch, überprüfe Deinen Computer mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info, mit dem Betreff "searchweb2-TBOARD". =====@===== Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häkchen setzen und fix checked klicken): O2 - BHO: (no name) - {BF55256A-3B3B-11D2-B05B-000001145917} - (no file) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) wenn Du diese Seite nicht kennst/brauchst, bitte fixen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bbvdcpaieridznlksf.com/V...eRNmCsK1W6.htmlä Boote in den normalen Modus. Aktiviere die Systemwiederherstellung. =====@===== Lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." Erstelle ein neues Hijack This Logfile und poste es. SD |
Hallo Shadowdance, ich kann dir gar nicht sagen, wie dankbar ich dir für deine Hilfe bin. Es war zwar viel Arbeit, aber deine Beschreibung ist dermaßen gut und detailliert, dass eigentlich nichts schief gehen kann. Ganz großes Lob!!! Der erste Erfolg hat sich auch bereits eingestellt. So kam z.B. weder die Menüleiste am unteren Bildschirmrand noch die Toolbar im Browser hoch. Allerdings wird die Startseite im IE noch umgesetzt. Hier die gewünschten Reports aus Hijackthis und eScan. eScan: Fri Oct 22 17:00:53 2004 => File C:\DOKUME~1\adebiasi\ANWEND~1\ARMYBA~1\TEAMUP~1.EXE infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken. Fri Oct 22 17:00:56 2004 => File C:\DOKUME~1\ALLUSE~1\ANWEND~1\BENDCO~1\WAVEER~1.EXE infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken. Fri Oct 22 17:03:41 2004 => File C:\Dokumente und Einstellungen\adebiasi\Anwendungsdaten\Army balm\Team Up.exe infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken. Fri Oct 22 17:03:41 2004 => File C:\Dokumente und Einstellungen\adebiasi\Anwendungsdaten\burnbaseaim\Baitloudhidepop.exe infected by "TrojanDownloader.Win32.Swizzor.bx" Virus. Action Taken: No Action Taken. Fri Oct 22 17:03:41 2004 => File C:\Dokumente und Einstellungen\adebiasi\Anwendungsdaten\burnbaseaim\dentcoalcast.exe infected by "TrojanDownloader.Win32.Swizzor.bm" Virus. Action Taken: No Action Taken. Fri Oct 22 17:03:41 2004 => File C:\Dokumente und Einstellungen\adebiasi\Anwendungsdaten\burnbaseaim\loozhhaa.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken. Fri Oct 22 17:03:42 2004 => File C:\Dokumente und Einstellungen\adebiasi\Anwendungsdaten\burnbaseaim\wdjlfoky.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken. Fri Oct 22 17:03:42 2004 => File C:\Dokumente und Einstellungen\adebiasi\Anwendungsdaten\burnbaseaim\xswmjcwc.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken. Fri Oct 22 17:03:58 2004 => File C:\Dokumente und Einstellungen\adebiasi\Anwendungsdaten\Mozilla\Profiles\default\xatmdfpp.slt\Mail\pop.1und1.com\Junk infected by "I-Worm.NetSky.b" Virus. Action Taken: No Action Taken. Fri Oct 22 17:03:58 2004 => File C:\Dokumente und Einstellungen\adebiasi\Anwendungsdaten\Mozilla\Profiles\default\xatmdfpp.slt\Mail\pop.1und1.com\Trash infected by "I-Worm.NetSky.b" Virus. Action Taken: No Action Taken. Fri Oct 22 17:03:58 2004 => File C:\Dokumente und Einstellungen\adebiasi\Anwendungsdaten\Mozilla\Profiles\default\xatmdfpp.slt\Mail\pop.1und1.de\Inbox infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Fri Oct 22 17:03:59 2004 => File C:\Dokumente und Einstellungen\adebiasi\Anwendungsdaten\Mozilla\Profiles\default\xatmdfpp.slt\Mail\pop.1und1.de\Trash infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Fri Oct 22 17:04:54 2004 => File C:\Dokumente und Einstellungen\adebiasi\Lokale Einstellungen\Temp\116044.exe infected by "TrojanDownloader.Win32.Swizzor.by" Virus. Action Taken: No Action Taken. Fri Oct 22 17:04:57 2004 => File C:\Dokumente und Einstellungen\adebiasi\Lokale Einstellungen\Temp\e561712d.exe infected by "TrojanDownloader.Win32.Swizzor.by" Virus. Action Taken: No Action Taken. Fri Oct 22 17:06:14 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bend Comp Soft Drv\antiitch.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken. Fri Oct 22 17:06:14 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bend Comp Soft Drv\logo the.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken. Fri Oct 22 17:06:14 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bend Comp Soft Drv\wave error.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken. Fri Oct 22 17:14:16 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Fri Oct 22 17:14:16 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\EXTRA MAGS DART CDROM.EXE.VIR Fri Oct 22 17:14:16 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\SECTACIDCAKE1.EXE.VIR Hijackthis: Logfile of HijackThis v1.98.2 Scan saved at 18:17:38, on 22.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\bases\mwavscan.com C:\bases\kavss.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Matthias\PC\Hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.qndcfqrxzivjhrxkrjo.com/V...RNmCsK1W6.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dotsmbkhtxvupkvxrxsi.net/...olbZtGKfY.html O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {08431209-8B8F-C546-3CDC-474FE5639398} - C:\DOKUME~1\adebiasi\ANWEND~1\ARMYBA~1\Team Up.exe (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [Soft drv pure data] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bend Comp Soft Drv\wave error.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [hopeflaw] C:\DOKUME~1\adebiasi\ANWEND~1\BURNBA~1\Interdrawproxy.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098451208671 O17 - HKLM\System\CCS\Services\Tcpip\..\{CBFBB44C-B633-45C4-9F1C-0FED32E83684}: NameServer = 192.168.1.1,0.0.0.0 Ich hoffe, dass wir den Rest jetzt auch noch hinkriegen und freue mich schon auf deine Antwort. Mich würde natürlich interessieren, wie ich diese Attacken in Zukunft verhindern kann (Virenscanner, Firewall, Spyware-Scanner,.....) und mit welchen Produkten (AntiVir, eScan, Spybot, ....) Vielen Dank und herzliche Grüße Matthias |
Lösche die gefundenen Dateien im abgesicherten Modus manuell. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:33 Uhr. |
Copyright ©2000-2025, Trojaner-Board