Weiterleitung auf ungewollte Seiten
 

Zunächst einmal:
Sollte ich hier etwas posten, zu dem es bereits einen Thread gibt, bitte ich um Entschuldigung. Ich habe einfach nichts dementsprechendes gefunden, möchte mich meines Problems aber dennoch annehmen :-)

Also...
Ich habe folgendes Problem:
Wenn ich mit dem Internetexplorer irgendwas im Internet suche (ich benutze wie der Großteil aller anderen Leute fast ausschließlich Google zum suchen), und irgendeine der Seiten, die bei der Suche herausgekommen sind anklicke, werde ich jedes mal zunächst auf eine andere Seite weitergeleitet, die definitv nicht die Seiten sind, die ich eigentlich vor hatte anzuklicken.

Noch mal genau:

Ich öffne den IE (Startseite Google),
Ich gebe einen Suchbegriff ein (zB. Trojaner-Board)
Ich klicke auf den Link
Ich werde auf irgendeine andere Seite weitergeleitet (meist irgendeine, die auch etwas mit Trojanern zu tun, aber nicht die war, die ich eigentlich anklicken wollte. Neben irgendwelchen "Casino-Seiten auch völlig seriöse Seiten wie Ebay, oder Douglas.de).
Wegklicken hilft zwar, aber es nervt erlesen doll und es geht einfach ums Prinzip.
Das Überprüfen mit HJT und CWshredder hat auch nichts gebracht, da mir bei der Auswertung immer gesagt wirde, dass alles in Ordnung sei und ich selbst auch nichts Ungewöhnliches erkennen kann.

Nichts desto Trotz hier mal mein HJT Log:

Logfile of HijackThis v1.99.1
Scan saved at 18:46:46, on 01.02.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\System32\nvsvc32.exe
C:\PROGRA~1\HanseNet\HANSEN~1\app\pppoeservice.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Allehol120%\Alcohol 120\StarWind\StarWindService.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINNT\system32\internat.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\BenQ\Common\Bin\WinCinemaMgr.exe
C:\PROGRA~1\HanseNet\HANSEN~1\app\EnterNet.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
D:\emule\eMule\emule.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\backup\Technik Shit\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NWEReboot] C:\Programme\Ahead\Nero 6.0\Nero.6.06\Nero\Uninstall\Unnero.exe /REMOVE="C:\DOKUME~1\Hanno\LOKALE~1\Temp\RarSFX0"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero 6.0\Nero.6.06\Nero BackItUp\NBJ.exe"
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\BenQ\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-Bibliothek\PCLib.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {9B17FE0E-51F2-4692-8B32-8EFB805FC0E7} (HPObjectInstaller Class) - http://h30155.www3.hp.com/ediags/dd/install/guidedsolutions.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\HanseNet\HANSEN~1\app\pppoeservice.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Allehol120%\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

So... Weiter weiß ich auch nicht, denn ich will nicht jedes einzelne Element meiner Systemdateien erst bei Google nachschlagen müssen und schon gar nicht will ich irgendetwas nur auf Verdacht löschen, denn dabei hab ich mir schon mal meine Betriebssystem ruiniert und das soll mir nicht noch einmal passieren :-)

Naja, ich hoffe, dass mir hier irgendeiner der klugen Köppe helfen kann und ich den Kampf gegen die Konsumindustrie gewinnen werde :-)

Vielen Dank im Voraus!

Es ist schon ziemlich schwer diesen Thread zu verfehlen...

http://www.trojaner-board.de/showthread.php?t=25916

Mach gleich bei eScan weiter. Aber les Dir die Anleitung von Cidre genau und vollständig und aufmerksam durch!

Jo, danke für die Weiterleitung. War ja klar, dass ich wieder mal einen Unsinns-Thread ins Leben rufe. Tschuldigung!

Hallo,
Unsinns-Thread ist es nicht. Mach halt mal Escan. Danach auch Blacklight (Log wird nach dem Scan automatisch im selben Pfad erstellt) und Silentrunners.


Grüße Wildone

Ich würde gerne erst einmal versuchen das ganze nur mit escan bzw. Killbox zu versuchen, um nicht unnötig hohen Aufwand betreiben zu müssen (ja, ich weiß ich bin faul :) )

Ich hab meine ganze IE Cache usw noch mal mit Clearprog gelehrt, was zur Folge hatte, dass ich jetzt statt 18 "gefährlichen" Einträgen nur noch 15 habe (diese 15 hocken allesamt in der Registry) und mein Scan nur 5 Minuten statt ner Stunde gedauert hat. Das ist ja schon mal erfreulich. Weniger erfreulich ist aber nach wie vor, dass ich nicht genau weiß, wo sie sich nun eingenistet haben, denn ein Virus-Log file hab ich nach wie vor nicht in meinem Bases_X Ordner.
Alles was ich nach gründlichem Gucken sehen kann ist folgendes:

b 02 11:52:21 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Thu Feb 02 11:52:21 2006 => Loading Spyware Signatures from new External Database (Size: 152294).
Thu Feb 02 11:52:21 2006 => Indexed Spyware Databases Successfully Created...

Thu Feb 02 11:56:34 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Thu Feb 02 11:56:34 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Thu Feb 02 11:56:36 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Thu Feb 02 11:56:37 2006 => Offending Key found: HKLM\Software\kazaa !!!
Thu Feb 02 11:56:37 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Feb 02 11:56:37 2006 => Offending Key found: HKCU\Software\kazaa !!!
Thu Feb 02 11:56:37 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Feb 02 11:56:38 2006 => Offending file found: C:\winstall.exe
Thu Feb 02 11:56:38 2006 => System found infected with spywareno!/spysheriff Commercial KeyLogger (winstall.exe)! Action taken: No Action Taken.

Thu Feb 02 11:56:38 2006 => Offending file found: C:\WINNT\kl.exe
Thu Feb 02 11:56:38 2006 => System found infected with cws.loadadv.400 Browser Hijacker (kl.exe)! Action taken: No Action Taken.

Thu Feb 02 11:56:38 2006 => Offending file found: C:\WINNT\secure32.html
Thu Feb 02 11:56:38 2006 => System found infected with smitfraud variant Browser Hijacker (secure32.html)! Action taken: No Action Taken.

Thu Feb 02 11:56:38 2006 => Offending file found: C:\WINNT\tool2.exe
Thu Feb 02 11:56:38 2006 => System found infected with cws.loadadv.400 Browser Hijacker (tool2.exe)! Action taken: No Action Taken.

Thu Feb 02 11:56:39 2006 => Offending Folder found: C:\WINNT\DOWNLO~1\conflict.1
Thu Feb 02 11:56:39 2006 => Object "180solutions Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Feb 02 11:56:39 2006 => Offending file found: C:\WINNT\DOWNLO~1\load.exe
Thu Feb 02 11:56:39 2006 => System found infected with peopleonpage Spyware/Adware (load.exe)! Action taken: No Action Taken.

Thu Feb 02 11:56:39 2006 => Offending file found: C:\WINNT\system32\paytime.exe
Thu Feb 02 11:56:39 2006 => System found infected with paymite Trojan-Spy (paytime.exe)! Action taken: No Action Taken.

Thu Feb 02 11:56:40 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Hanno\Anwendungsdaten\azureus\logs\save
Thu Feb 02 11:56:40 2006 => Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Feb 02 11:56:46 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Hanno\Lokale Einstellungen\anwendungsdaten\google\hello\scache\1024
Thu Feb 02 11:56:46 2006 => Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: No Action Taken.

Thu Feb 02 11:56:47 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Hanno\Lokale Einstellungen\Anwendungsdaten\google\hello\scache\1024
Thu Feb 02 11:56:47 2006 => Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: No Action Taken.


Was soll ich nun also tun? Ich lad mir erstmal Killbox runter und guck mal, ob ich so irgendwas erreiche :)

Hallo,
also du kannst da jetzt manuell rangehen, im Prinzip auch kein Fehler, aber das gröbste solltest du erstmal hiermit beseitigen. Und den Rest dann mit killbox, aber ich befürchte einfach das das nicht alles ist, da normalerweise Spysheriff nicht die Suchergebnisse bei google ändert.



Grüße Wildone

Also das Problem, dass mich dazu verleitet hat hier überhaupt etwas zu posten ist mittlerweile gelöst. Die Umleitungen auf andere Websites haben aufgehört, nachdem ich n bisschen was mit Killbox gelöscht habe.
Sechs böse Einträge habe ich aber nach wie vor und das sind eben die, die in der Regestry hocken.

Zwar steht in meinem eScan Log-file, dass da noch spyware ist (zB. alexa spyware/adware), doch leider steht nicht genau wo es sich befindet.
Für die drei alexa Dinger steht sogar der Regestry-Key dahinter, aber wenn ich die Regestry durchsuche wird dieser nichts gefunden.
Angeblich soll sich das irgenwo hier befinden:

Offending Key found: HKLM\Software\kazaa !!!

Weiterhin steht dann da:

Offending Key found: HKCU\Software\kazaa !!!

Naja und der gute alte spysherrif steht (wobei Ihr das ja ohnehin alles in meinem Log oben gesehen haben dürftet) hier:

Offending file found: C:\winstall.exe

Der spysherrif eintrag konnte mit Killbox nicht delated werden. Wenn ich es versucht habe stand da immer nur, dass die File wohl nicht zu existieren scheint. Mh... keine Ahnug. Ich werds jetzt erstmal nochmal mit diesen Franzosen Ding versuchen, dass Du hier grade gepostet hast und dann mal weiter gucken.

Danke auf jeden Fall erstmal!

Wenn ich in der Regestry unter HKLM \ Software \ Kazaa gucke steht da folgendes (warum kann man einträger namentlich aus der Regestry eigentlich nicht kopieren? So muss ich alles abschreiben :( )

(Standart)
DisablePort80Listen
FirewallStatus
InstallDir
ListenPort
my_ip_address
network_config
UDP_probe_success
UDP_receive_status

Und das wars. Natürlich steht da noch was hinter, aber ich denke nicht, dass das so ausschlaggebend ist.

Aber was soll denn daran so schlimm sein???

Sowohl in der HKCU, als auch in der HKLM steht unter Software\Kazaa niemals etwas mit dem gleichen Namen, jedoch wird beim eScan ja dreimal die gleiche, oder ein ähnlicher Spyware namens Alexa soundso gefunden. Warum?

Ich denke Du solltest wie von Wildone vorgeschlagen Blacklight und Silentrunners laufen lassen. AFAIK hat er einen sehr guten Riecher.

Ich habe mir jetzt mal das Programm runtergeladen (SmitfraudFix).
Auf der Seite, auf der ich das runtergeladen habe (Dein Link), sind noch weitere Links. Den Link, der auf die Hijackthis Seite verweist habe ich angeklickt. Da steht was davon, dass ich mir, bevor ich die "wininet.dll" fixen lasse n Patch mit der neuen dll datei runterladen soll, weil sonst nix mehr gehen würde. Ich soll mir das auf der Microsoft seite runterladen, aber der Link dahin funktioniert nich. Kann ich mir die datei auch bei www.dll-files.com runterladen??

Hallo,
brauchst du eigentlich nicht machen, denn du hast ja bei einem NT System den Ersatz normalerweise im dll-cache und in diesem Pfad: C:\WINNT\ServicePackFiles\i386 (glaube das ist bei Win2000 auch so, kannst aber nochmal nachschauen).
Außerdem habe ich in letzter Zeit eigentlich nicht mehr gehört das die Tools bei der Bereinigung etwas zerschoßen hätten. Du hast außerdem eine Spysheriff Version bei dem die wininet nicht betroffen ist.



Grüße Wildone

Ich hab mich auch vertan.
Es gibt unterschiedliche Remover für diese Sachen und der, bei dem man erstmal die .dll file runterladen musste, ist ein anderer.

Ich denke ich habs gleich (nach einem aufwendigen Weg).
Ganz herzlichen Dank für Eure Hilfe!!! :)

Entgegen meiner vorherigen Vermutung hat sich rein gar nichts verändert.
Auch nachdem ich SmitFraudFix habe durchlaufen lassen (alles genau wie beschrieben) findet eScan sie immer noch und auch das mit den ungewollten Seiten hat sich leider nicht geändert.

Was soll ich jetzt noch machen?

Was genau findet eScan immer noch? Das hier?

Thu Feb 02 11:56:46 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Hanno\Lokale Einstellungen\anwendungsdaten\google\hello\scache\ 1024
Thu Feb 02 11:56:46 2006 => Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: No Action Taken.

Thu Feb 02 11:56:47 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Hanno\Lokale Einstellungen\Anwendungsdaten\google\hello\scache\ 1024
Thu Feb 02 11:56:47 2006 => Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: No Action Taken.

Oder ist das Log identisch mit dem ersten?

€dit: ich bin jetzt dann beim Friseur. Wünscht mir Glück!

Nein!
Die Einträge, die immer noch da sind, sind die hier:

Thu Feb 02 16:47:42 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Thu Feb 02 16:47:42 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Thu Feb 02 16:47:44 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Thu Feb 02 16:47:46 2006 => Offending Key found: HKLM\Software\kazaa !!!
Thu Feb 02 16:47:46 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Feb 02 16:47:46 2006 => Offending Key found: HKCU\Software\kazaa !!!
Thu Feb 02 16:47:46 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.


Ich hab jetzt auch mal Blacklight durchlaufen lassen.
Das erzählt mir ich hätte folgendes drauf:

csocm.exe
dmgbc.exe
favset.exe
filesafer23.exe
howiper.exe
pppcgm.exe
wbemtest.exe

Fixen kann ich damit, wie es scheint gar nichts.
Soll ich das dann Manuell machen?

Ähm.. Wenn ich die Option "Rename" anklicke, wird mir gesagt, dass das lediglich für Experten sei und ich mein System damit beschädigen könnte, wenn ich es einfach so mache, ohne darüber bescheid zu wissen... Wat nu?

Hallo,
hat ja auch lang genug gedauert bis du es mal ausgeführt hast. Du hast ein ausgewachsenes Rootkit auf deinem Rechner, dieses gräbt sich so tief in das System ein das es quasi nicht mehr zu beseitigen ist. Du solltest das System neu aufsetzen und wie hier beschrieben absichern. Außerdem solltest du keine unseriösen Programme mehr installieren (Cracks usw.) und keine Webseiten mehr besuchen die soetwas anbieten.


Grüße Wildone

So, jetzt hab ich auch noch silentrunners laufen lassen und folgendes ist dabei rausgekommen:

"Silent Runners.vbs", revision 43, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"internat.exe" = "internat.exe" [MS]
"MsnMsgr" = ""C:\Programme\MSN Messenger\MsnMsgr.Exe" /background" [MS]
"Yahoo! Pager" = "C:\Programme\Yahoo!\Messenger\ypager.exe -quiet" ["Yahoo! Inc."]
"NBJ" = ""C:\Programme\Ahead\Nero 6.0\Nero.6.06\Nero BackItUp\NBJ.exe"" ["Ahead Software AG"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"Tweak UI" = "RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp" [MS]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_04\bin\jusched.exe" ["Sun Microsystems, Inc."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"DAEMON Tools-1033" = ""C:\Programme\D-Tools\daemon.exe" -lang 1033" ["DAEMON'S HOME"]
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]
"Zone Labs Client" = "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"]
"InCD" = "C:\Programme\Ahead\InCD\InCD.exe" ["Ahead Software AG"]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Computer, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"NeroFilterCheck" = "C:\WINNT\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"NWEReboot" = "C:\Programme\Ahead\Nero 6.0\Nero.6.06\Nero\Uninstall\Unnero.exe /REMOVE="C:\DOKUME~1\Hanno\LOKALE~1\Temp\RarSFX0"" ["Nero AG"]
"HP Component Manager" = ""C:\Programme\HP\hpcoretech\hpcmpmgr.exe"" ["Hewlett-Packard Company"]
"HP Software Update" = ""C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"" ["Hewlett-Packard"]
"HPDJ Taskbar Utility" = "C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe" ["HP"]
"dmgbc.exe" = "C:\WINNT\system32\dmgbc.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\nvshell.dll" ["NVIDIA Corporation"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{5464D816-CF16-4784-B9F3-75C0DB52B499}" = "Yahoo! Mail"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{FED7043D-346A-414D-ACD7-550D052499A7}" = "dBpowerAMP Music Converter 1"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Illustrate\dBpowerAMP\dBShell.dll" [empty string]
"{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5}" = "dBpowerAMP Music Converter"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Illustrate\dBpowerAMP\dMCShell.dll" [empty string]
"{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Ahead\InCD\incdshx.dll" ["Ahead Software AG"]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {CLSID}\InProcServer32\(Default) = "C:\ALLEHO~1\ALCOHO~2\AXShlEx.dll" ["Alcohol Soft Development Team"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "csocm.exe" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
Yahoo! Mail\(Default) = "{5464D816-CF16-4784-B9F3-75C0DB52B499}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"SCRNSAVE.EXE" = "(Kein)" [file not found]


Startup items in "Hanno" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"InterVideo WinCinema Manager" -> shortcut to: "C:\Programme\BenQ\Common\Bin\WinCinemaMgr.exe" ["InterVideo Inc."]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
"Office-Bibliothek-Direktsuche" -> shortcut to: "C:\Programme\Office-Bibliothek\PCLib.exe" [empty string]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "Yahoo! Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{4528BBE0-4E08-11D5-AD55-00010333D0AD}\ = "&Yahoo! Messenger" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{4528BBE0-4E08-11D5-AD55-00010333D0AD}\ = "&Yahoo! Messenger" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll" ["Yahoo! Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll" ["Sun Microsystems, Inc."]

{4528BBE0-4E08-11D5-AD55-00010333D0AD}\
"ButtonText" = "Messenger"
"MenuText" = "Yahoo! Messenger"
"CLSIDExtension" = "{4C171D40-8277-11D5-AD55-00010333D0AD}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll" ["Yahoo! Inc."]

{B13B4423-2647-4CFC-A4B3-C7D56CB83487}\
"ButtonText" = "Share in Hello"
"MenuText" = "Share in H&ello"
"CLSIDExtension" = "{B13B4423-2647-4cfc-A4B3-C7D56CB83487}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Hello\PicasaCapture.dll" ["Picasa, Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
COM+-Ereignissystem, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]}
InCD Helper, InCDsrv, "C:\Programme\Ahead\InCD\InCDsrv.exe" ["Ahead Software AG"]
iPodService, iPodService, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Computer, Inc."]
NVIDIA Display Driver Service, NVSvc, "C:\WINNT\System32\nvsvc32.exe" ["NVIDIA Corporation"]
PPPoE Service, PPPoEService, "C:\PROGRA~1\HanseNet\HANSEN~1\app\pppoeservice.exe" [null data]
StarWind iSCSI Service, StarWindService, "C:\Allehol120%\Alcohol 120\StarWind\StarWindService.exe" ["Rocket Division Software"]
TrueVector Internet Monitor, vsmon, "C:\WINNT\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzsnt09\Driver = "hpzsnt09.dll" ["HP"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 200 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 15 seconds.
---------- (total run time: 246 seconds)

Und was soll ich jetzt machen???

Hallo Beowölfi,
du hast den Post von Wildone über dir gelesen ?
Dem ist nichts hinzuzufügen !!
Irrlicht

Ähh... Mhh...
Das ist ja ausgesprochen ärgerlich.
Zumal es noch nicht sonderlich lange her ist, dass ich eben das getan habe und meinen Rechner anschließend best möglich habe absichern lassen.
Damals hatte ich aber nicht mal eine Firewall und nicht zuletzt deswegen hätte das gute Stück sicher einen vorderen Platz der weltweit verseuchtesten PC eingenommen. Da ging gar nichts mehr!

Jetzt geht aber eigentlich alles und besonders große Nachteile habe ich dadurch auch nicht (zumindest nicht was die Funktionalität und Bedienbarkeit angeht).
Ich denke ich warte so lange, bis nix mehr geht und mach es dann. Ich hab im Moment einfach zuw enig Zeit dazu.

Dennoch danke allerseits!!

Aber Zeit um verschiedene Proggis laufen zu lassen hattest du ?
Deine letzten Sätze gehören in eine ganz spezielle Kategorie !
Du könntest dich hier im Bord schlau machen,was Rootkits können und für was die bösen Buben sie gerne einsetzen.
Wenn du dann ordentlich erschrocken bist,nimmst du dir diese Anleitung vor und vor allem zu Herzen.Handle genau danach !!
http://www.trojaner-board.de/showthread.php?t=12154
Irrlicht

Hallo,
du gehst einfach von falschen Voraussetzungen aus. Was sollte ein Virenautor (wird mittlerweile fast nur noch kommerziell betrieben) für ein Interesse haben ds dein Computer nicht mehr läuft? Im Gegenteil er will das du nichts davon merkst (deswegen überhaupt erst ein Rootkit) dann leitet er bestimmte Anfragen von dir (ev Onlinebanking, Ebay ...) auf präperierte Seiten um die meist in der Ukraine gehostet werden und schaut was er damit so alles machen kann.
Außerdem wird dein Rechner dazu verwendet Spam zu versenden, andere Rechner zu infizieren, Webseiten zu erpressen (mit der Androhung von DoS-Atacken usw.).
Also lange Rede kurzer Sinn, du hast als Computerbenutzer im Internet eine gewisse Verantwortung den anderen (und dir selbst)gegenüber, komme dieser bitte nach und sorge dafür das dein system abgesichert ist.
Wenn du dein System weiter benutzen willst, kein Problem, aber ziehe dann bitte das Netzwerkkabel, oder baue das Modem aus.


Grüße Wildone

Ich habe drei verschiedene Festplatten, Nur auf einer werden Programme etc. gespeichert. Mein C:\ Laufwerk...

Muss ich dann immer noch alles neu machen???
Auf den anderen Platten sind hauptsächlich Daten (Unterhaltung).
Da nisten sich ja keine Plagegeister ein. Zumindest so weit ich weiß...

Hallo,
Dann ist es in Ordnung wenn du nur diese formatierst.


Grüße Wildone